با افزایش بدافزارهای موجود در سیستم عامل macOS در سال های اخیر، اپل سعی داشته است تا با افزایش لایه های امنیتی، کار در سیستم عامل macOS را برای بدافزارها سخت تر کند. اما آسیب پذیری مشخصی در سیستم عامل مک او اس که امروز پس از پچ شدن تشریح شده می توانست تمامی این لایه های امنیتی را دور بزند.
این باگ در لایه های امنیتی mac OS توسط محقق حوزه امنیت سیستم های مک کشف و مورد بررسی قرار گرفته است. به طور کلی باگ در لایه های امنیتی macOS در مکانیزم گیت کیپر اپل اتفاق افتاده است و اپل در آخرین بروزرسانی خود اقدام به انتشار پچ برای رفع این مشکل کرده است. در ادامه به بررسی نحوه عملکرد این حفره امنیتی mac OS خواهیم پرداخت.
باگ در لایه های امنیتی macOS یا Gatekeeper
محقق حوزه امنیت سدریک اونز(Cedric Owens )، در اواسط ماه مارس در حالی که در حال تحقیق درباره سیستم امنیتی macOS بود، موفق به کشف باگ در لایه های امنیتی mac OS شد. مکانیزم کیت گیپر (Gatekeeper) از توسعه دهندگان درخواست می کند تا برای اجازه اجرای نرم افزار در سیستم های مک در سایت اپل ثبت نام کرده و مبلغی را پرداخت کنند. در فرایند تایید اعتبار نرم افزار شرکت اپل، تمامی نرم افزارها مجبور خواهند بود تا از یک اتوماسیون تحقیق و بررسی عبور کنند. براساس یافته های اونز، نقص در دستورالعمل های موجود برای این اتوماسیون نیست، بلکه در خود سیستم عامل macOS است.
به همین دلیل، هکرها قادر خواهند بود تا بدافزار خود را به نحوی طراحی کنند که با فریب سیستم عامل موفق به اجرای خود در سیستم عامل کامپیوترهای اپل شوند، حتی اگر در تمامی آزمایش های امنیتی Gatekeeper رد شده باشند. سدریک اونز در ادامه بیان می کند:«با وجود تمامی پیشرفت های شرکت اپل در طول سالیان اخیر در حوزه امنیت، متعجبم که تکنیکی به این سادگی موفق عمل کند. با در نظر گرفتن احتمال بالای استفاده از این نقص توسط مهاجمان در دنیای واقعی برای عبور از گیت کیپر، بلافاصله اپل را در جریان این باگ امنیتی قرار دادم. زیرا چندین روش برای سوء استفاده از این باگ امنیتی ممکن است.»
بیشتر بدانید: هر آنچه باید در مورد آیفون 13 اپل بدانید!
حفره امنیتی در مکانیزم گیتکیپر چگونه عمل می کند؟
باگ در لایه های امنیتی macOS، به مانند درب جلوی خانه ای است که به خوبی تقویت شده اما با وجود درب کوچک مخصوص گربه، این امکان وجود دارد تا به سادگی بمبی را به داخل خانه رها کنید. اپل به اشتباه بر این تصور بوده است که نرم افزارها همیشه ویژگی های مشخصی خواهند داشت.اونز متوجه شد که اگر یک نرم افزار تنها یک اسکریپت (نرم افزاری که به نرم افزار دیگری دستور بدهد تا کاری را آن انجام دهد و خود اقدام به انجام آن کار نکند) باشد و از فایل متادیتای استاندارد info.plist استفاده نکند، می تواند به صورت مخفیانه در تمامی سیستم های مک کار کند.
در حالت عادی، در این مواقع سیستم عامل پیغامی امنیتی و پایه را به نمایش درمی آورد: ” این اپلیکیشن از اینترنت دانلود شده است. آیا مطمئن هستید که میخواهید آن را اجرا کنید؟ ” که با استفاده از تکنیک مورد اشاره اوونز حتی این پیغام پایه نیز نمایش داده نخواهد شد. او این اطلاعات را در اختیار تیم امنیتی اپل و محقق کهنه کار امنیت اپل پاتریک واردل (Patrick Wardle) قرار داده است تا تحقیق بیشتری درباره این گاف امنیتی اپل انجام دهد. به گفته واردل سیستم عامل در ابتدا به درستی تشخیص می دهد که نرم افزار از اینترنت دانلود شده است، پس فایل را قرنطینه می کند تا بررسی های بیشتری انجام دهد و اعتبار نرم افزار را بررسی کند که در رابطه با بدافزار این تاییدیه وجود ندارد.
حال به سراغ فایل info.plist می رود تا مطمئن شود که آیا این یک بسته اپلیکیشن است یا خیر. در این مرحله به اشتباه تشخیص می دهد که این فایل یک اپلیکیشن نیست و اجازه اجرای آن را بدون اطلاع به کاربر صادر می کند. از نظر وی این اتفاق جنون آمیز است. واردل در ادامه به سراغ شرکت Jamf رفت تا اطمینان حاصل کند که آیا آنتی ویروس این شرکت با نام Protect موفق به کشف این بدافزار شده موفق به کشف اپلیکیشن تبلیغاتی Shlayer شده است که بصورت فعال از این بدافزار استفاده می کند.
انتشار پچ برای رفع مشکل حفره امنیتی در مکانیزم GateKeeper
برای رفع مشکل باگ در لایه های امنیتی macOS، شرکت اپل در تاریخ 26 مارس 2021 اقدام به انتشار یک پچ در بروزرسانی macOS Big Sur 11.3 کرده است. سخنگوی شرکت اپل توانایی بدافزار را برای دور زدن تایید اعتبار پیش نیاز در سیستم عامل macOS تایید کرده است. علاوه بر انتشار پچ برای رفع نقص سیستم امنیتی، اپل اقدام به انتشار بروزرسانی جدید برای ابزار نظارتی خود XProtect کرده است تا در صورت تلاش هر نرم افزاری برای استفاده از این نقص اخطار صادر کند. این بدین معنی است که حتی نسخه های قدیمی تر macOS نیز در برابر این آسیب تا حدی ایمن خواهند شد. این نقص امنیتی نشان می دهد که حتی محافظت شده ترین سیستم ها نیز دچار نقص می شود، اما باگ امنیتی اخیر بخش های اصلی و بنیادین سیستم عامل اپل را زیر سوال می برد.