باگی که دور زدن لایه‌های امنیتی macOS را ممکن می‌کرد، برطرف شد!

باگ در لایه های امنیتی macOS یا Gatekeeper

محقق حوزه امنیت سدریک اونز(Cedric Owens )، در اواسط ماه مارس  در حالی که در حال تحقیق درباره سیستم امنیتی macOS بود، موفق به کشف باگ در لایه های امنیتی mac OS  شد. مکانیزم کیت گیپر (Gatekeeper) از توسعه دهندگان درخواست می کند تا برای اجازه اجرای نرم افزار در سیستم های مک در سایت اپل ثبت نام کرده و مبلغی را پرداخت کنند.  در فرایند تایید اعتبار نرم افزار شرکت اپل، تمامی نرم افزارها مجبور خواهند بود تا از یک اتوماسیون تحقیق و بررسی عبور کنند. براساس یافته های اونز، نقص در دستورالعمل های موجود برای این اتوماسیون نیست، بلکه در خود سیستم عامل macOS است.

به همین دلیل، هکرها قادر خواهند بود تا بدافزار خود را به نحوی طراحی کنند که با فریب سیستم عامل موفق به اجرای خود در سیستم عامل کامپیوترهای اپل شوند، حتی اگر در تمامی آزمایش های امنیتی Gatekeeper رد شده باشند.  سدریک اونز در ادامه بیان می کند:”با وجود تمامی پیشرفت های شرکت اپل در طول سالیان اخیر در حوزه امنیت، متعجبم که تکنیکی به این سادگی موفق عمل کند. با در نظر گرفتن احتمال بالای استفاده از این نقص توسط مهاجمان در دنیای واقعی برای عبور از گیت کیپر، بلافاصله اپل را در جریان این باگ امنیتی قرار دادم. زیرا چندین روش برای سوء استفاده از این باگ امنیتی ممکن است”.

حفره امنیتی در مکانیزم گیت‌کیپر چگونه عمل می کند؟

باگ در لایه های امنیتی macOS، به مانند درب جلوی خانه ای است که به خوبی تقویت شده اما با وجود درب کوچک مخصوص گربه، این امکان وجود دارد تا به سادگی بمبی را به داخل خانه رها کنید. اپل به اشتباه بر این تصور بوده است که نرم افزارها همیشه ویژگی های مشخصی خواهند داشت.اونز متوجه شد که اگر یک نرم افزار تنها یک اسکریپت (نرم افزاری که به نرم افزار دیگری دستور بدهد تا کاری را آن انجام دهد و خود اقدام به انجام آن کار نکند) باشد و از فایل متادیتای استاندارد  info.plist استفاده نکند، می تواند به صورت مخفیانه در تمامی سیستم های مک کار کند.

در حالت عادی، در این مواقع سیستم عامل پیغامی امنیتی و پایه را به نمایش درمی آورد: ” این اپلیکیشن از اینترنت دانلود شده است. آیا مطمئن هستید که می‌خواهید آن را اجرا کنید؟ ” که با استفاده از تکنیک مورد اشاره اوونز حتی این پیغام پایه نیز نمایش داده نخواهد شد. او این اطلاعات را در اختیار تیم امنیتی اپل و محقق کهنه کار امنیت اپل پاتریک واردل (Patrick Wardle) قرار داده است تا تحقیق بیشتری درباره این گاف امنیتی اپل انجام دهد. به گفته واردل سیستم عامل در ابتدا به درستی تشخیص می دهد که نرم افزار از اینترنت دانلود شده است، پس فایل را قرنطینه می کند تا بررسی های بیشتری انجام دهد و اعتبار نرم افزار را بررسی کند که در رابطه با بدافزار این تاییدیه وجود ندارد.

حال به سراغ فایل info.plist می رود تا مطمئن شود که آیا این یک بسته اپلیکیشن است یا خیر. در این مرحله به اشتباه تشخیص می دهد که این فایل یک اپلیکیشن نیست و اجازه اجرای آن را بدون اطلاع به کاربر صادر می کند. از نظر وی این اتفاق جنون آمیز است. واردل در ادامه به سراغ شرکت Jamf  رفت تا اطمینان حاصل کند که آیا آنتی ویروس این شرکت با نام Protect موفق به کشف این بدافزار شده است یا نه؟ در حقیقت  Jamf   موفق به کشف اپلیکیشن تبلیغاتی Shlayer شده است که بصورت فعال از این بدافزار استفاده می کند.

بیشتر بدانید: هر آنچه باید در مورد آیفون 13 اپل بدانید!

انتشار پچ برای رفع مشکل  حفره امنیتی در مکانیزم GateKeeper

برای رفع مشکل باگ در لایه های امنیتی macOS، شرکت اپل در تاریخ 26 مارس 2021 اقدام به انتشار یک پچ در  بروزرسانی macOS Big Sur 11.3 کرده است. سخنگوی شرکت اپل توانایی بدافزار را برای دور زدن تایید اعتبار پیش نیاز در سیستم عامل macOS تایید کرده است. علاوه بر انتشار پچ برای رفع نقص سیستم امنیتی، اپل اقدام به انتشار بروزرسانی جدید برای ابزار نظارتی خود XProtect کرده است تا در صورت تلاش هر نرم افزاری برای استفاده از این نقص اخطار صادر کند. این بدین معنی است که حتی نسخه های قدیمی تر macOS نیز در برابر این آسیب تا حدی ایمن خواهند شد. این نقص امنیتی نشان می دهد که حتی محافظت شده ترین سیستم ها نیز دچار نقص می شود، اما باگ امنیتی اخیر بخش های اصلی و بنیادین سیستم عامل اپل را زیر سوال می برد.

منبع