استخدم المتسللون خطأ “محيرًا للعقل” لتجاوز إجراءات حماية macOS


مع برامج macOS الضارة في ازدياد، كانت Apple مشغولة في السنوات الأخيرة بإضافة طبقات من الحماية تجعل تشغيل البرامج الضارة على أجهزة Mac أكثر صعوبة. لكن تم استغلال ثغرة في نظام التشغيل ، تم الكشف عنها علنًا وتحديثها حاليًا ، لمنعها جميعًا.

اكتشف الباحث الأمني ​​سيدريك أوينز الخطأ في منتصف شهر مارس بينما كان يبحث عن طرق للدفاع عن دفاعات MacOS. من التفاح حمال تتطلب الآلية من المطورين التسجيل في Apple ودفع رسوم حتى يمكن تشغيل برامجهم على Mac. وتجبر عملية توثيق برامج الشركة جميع التطبيقات على الخضوع لعملية مراجعة آلية. لم يكن الخلل المنطقي الذي وجده أوينز في هذه الأنظمة ، بل في نظام macOS نفسه. يمكن للمهاجمين صياغة برامجهم الضارة بشكل استراتيجي لخداع نظام التشغيل لإيقاف التشغيل ، حتى لو فشلت جميع عمليات التحقق من الأمان على طول الطريق.

يقول أوينز: “مع كل التحسينات الأمنية التي أجرتها شركة Apple في السنوات الأخيرة ، كنت مندهشًا تمامًا من نجاح هذه التقنية البسيطة ، لذلك أبلغت شركة Apple على الفور نظرًا لإمكانية استخدام المهاجمين في العالم الحقيقي لهذه التقنية لتجنب Gatekeeper. هناك هي عدة حالات استخدام لمعرفة كيفية إساءة استخدام هذا الخطأ.

يبدو العيب وكأنه مدخل أمامي ذو قضبان ومسامير بشكل فعال ، ولكن مع وجود باب قطة في الأسفل يسمح لك بإلقاء قنبلة بسهولة. افترضت شركة Apple خطأً أن التطبيقات ستتمتع دائمًا بسمات محددة معينة. اكتشف أوينز أنه إذا أنشأ تطبيقًا كان في الحقيقة مجرد نص برمجي (رمز يخبر برنامجًا آخر بما يجب فعله بدلاً من القيام بذلك بنفسه) وأنه لا يتضمن ملف بيانات وصفية قياسي للتطبيق يسمى “info .plist” ، يمكنه بصمت قم بتشغيل التطبيق على أي جهاز Mac. لن يعطي نظام التشغيل حتى الرسالة الأساسية: “هذا تطبيق تم تنزيله من الإنترنت. هل تريد بالتأكيد فتحه؟”

أبلغ أوينز Apple عن الخطأ وشارك أيضًا النتائج التي توصل إليها مع الباحث الأمني ​​لنظام macOS منذ فترة طويلة باتريك واردل ، الذي أجرى تحليلًا أعمق لسبب إسقاط macOS للكرة.

يقول واردل: “يقول نظام التشغيل بشكل صحيح ، ‘انتظر دقيقة ، هذا قادم من الإنترنت ، سأقوم بعزله وسأقوم بكل فحوصاتي”. ولكن بعد ذلك يتم تعقبه لمعرفة ما إذا كان البرنامج عبارة عن حزمة تطبيق أم لا ، وعندما يرى أنه لا يوجد ملف “info.plist” ، يحدد macOS خطأً أنه ليس تطبيقًا ، وأي دليل آخر على عكس ذلك ويتيح تشغيله بدون أي إجراء احترازي للمستخدم. “إنها تقول فقط” حسنًا ، رائع “وستعمل مع أي شيء ، كما يقول واردل.” إنه نوع من المرح! “

بعد اكتساب فهم أعمق لكيفية عمل الخطأ ، اتصل واردل بشركة Jamf لإدارة الأجهزة التي تركز على Apple لمعرفة ما إذا كان منتج الحماية من الفيروسات التابع للشركة قد وضع علامة على أي برامج ضارة قائمة على البرامج النصية. تتناسب مع المعايير. في الواقع ، كان Jamf قد وضع علامة على نسخة من ادواري شلاير الذي كان يستغل الخطأ بنشاط.

تطلب ميزة macOS Gatekeeper ، التي تم إطلاقها في عام 2012 ، من المستخدمين تحذيرًا يسألهم عما إذا كانوا متأكدين من أنهم يريدون تشغيل التطبيقات التي تم تنزيلها خارج Mac App Store. ولكن على مر السنين ، تمكن المهاجمون من خداع عدد كافٍ من الضحايا للموافقة على أنه لا يزال بإمكانهم توزيع برامجهم الضارة على نطاق واسع. لكن متطلبات التوثيق لشركة Apple ، التي دخلت حيز التنفيذ في فبراير 2020 ، جعلت من الصعب جدًا استهداف البرامج الضارة على أجهزة Mac. إذا حاول المستخدم تشغيل برامج غير موثقة ، فسيرفض macOS التطبيق تمامًا. هذا يشكل مشكلة كبيرة لمجرمي الإنترنت ، قبل كل شيء الباعة المتجولون ادواري، الذين يعتمدون على قاعدة عريضة من الضحايا لتوليد الدخل.

سعت المجموعة التي طوّرت شلاير إلى حلول جريئة وحصلت عليها بعض النجاحات في خداع شركة آبل لتوثيق البرامج الضارة الخاصة بك. من الواضح أن الخطأ الذي يسمح لك بتجاوز متطلبات التوثيق تمامًا هو الأفضل ، خاصةً إذا كان لديه ميزة عدم الاضطرار إلى خداع المستخدمين للموافقة على تشغيل البرامج الضارة.

Add a Comment

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *