خبراء يستعرضون طريقة لكسر حماية macOS
على الرغم من أن أبل قد اتخذت خطوات لتعزيز أمان نظامها الأساسي macOS، إلا أن الثغرات الأمنية لا تزال تظهر والتي يمكن أن تتخطى بعضًا من أهم وسائل الحماية الخاصة بها.
وفقًا لتقرير جديد صادر عن شركة الأمن السيبراني Malwarebytes، فإن عددًا قليلاً من نقاط الضعف والثغرات التي تم عرضها في مؤتمر Objective by the Sea، وهو المؤتمر الأمني الذي يركز على أجهزة ومنتجات أبل فقط، يوضح كيف تتطور هجمات استهداف أجهزة ماك.
تجاوز الشفافية، الموافقة، والتحكم
على سبيل المثال، أظهر باحثو الأمن هجومين تجاوزا أنظمة أبل للشفافية، الموافقة، والتحكم Transparency, Consent, and Control، وهي الآليات التي تتطلب محتوى المستخدم للوصول إلى بيانات محددة.
تضمنت إحدى الهجمات مهاجمًا عن بُعد لديه أذونات الجذور “الروت Root” تمنح الوصول إلى البيانات لعملية ضارة ببساطة عن طريق إنشاء مستخدم جديد على النظام وجعل هذا المستخدم يمنح الأذونات. استفادت ثغرة أخرى من نقاط التثبيت لملفات صور القرص Disk Image. في الأساس، كان الباحث قادرًا على تعديل قاعدة بيانات أذونات محددة ومنح أذونات الشفافية، الموافقة، والتحكم TCC لأي عملية تقريبًا.
ثغرة أخرى تم توضيحها في المؤتمر تتعامل مع أنواع البيانات التي تدافع عنها حماية TCC. على سبيل المثال، من المحتمل أن تقوم البرامج الضارة بجمع البيانات من مجلد .ssh، والذي يُستخدم لتخزين الشهادات التي تصادق الاتصالات. هذا، وفقًا لـ Malwarebytes، قد يسمح للمهاجم “بالتنقل” في البنية التحتية للمؤسسة إذا تمكن من الوصول إلى هذا المجلد.
مثبتات macOS
تشمل الهجمات الأخرى التي ظهرت خلال المؤتمر تلك التي تستهدف أو تتجاوز حماية مثبتات أبل.
تستخدم برمجية Silver Sparrow الخبيثة، على سبيل المثال، ملف التوزيعة الموجود في نظام ماك، والذي يتم استخدامه لنقل المعلومات والخيارات إلى المثبت. يمكن تشغيل كود جافاسكربت JavaScript في ملف التوزيعة، مما يفتح الباب أمام هجمات محتملة.
على وجه التحديد، استخدم Silver Sparrow برنامجًا نصيًا يهدف في البداية إلى التحقق مما إذا كان النظام يلبي متطلبات التثبيت لتنزيل البرامج الضارة وتثبيتها سراً.
هناك طريقة أخرى لتجاوز حماية التثبيت من أبل، وهي تشمل المثبتات الخالية من الحمولة. هي في الأساس أدوات تثبيت لا تقوم بتثبيت أي شيء. بدلاً من ذلك، فهي عبارة عن غطاء لسكربت يقوم بتشغيل عملية تثبيت.
تمت مناقشة ثغرتين أخريين على الأقل في المؤتمر، بما في ذلك المكونات الإضافية للمثبِّت التي تم تصميمها بشكل ضار لتثبيت الحمولات على نظام وإحداث خلل في macOS يمكن أن يسمح للتطبيق بتجاوز نظام الحماية تمامًا.
يمكن العثور على مزيد من المعلومات حول نقاط الضعف والباحثين الذين اكتشفوها في مدونة Malwarebytes.
