آسیبپذیری روز صفر اپل که منجر به حملهی کلیک-ماوس میشود
خلاصه: علی رغم همهی رفع اشکالات انجام شده، آسیب پذیری روز صفرم شرکت اپل منجر به حملات "کلیک-موس" به منظور دسترسی به کرنل شده است! و البته دسترسی به هسته سیستم عامل مک باعث دسترسی به کل این سیستم عامل میشود.
علی رغم رفع اشکالات انجام شده، آسیب پذیری روز صفرم شرکت اپل منجر به حملات "کلیک-موس" به منظور دسترسی به کرنل شده است!
یک محقق با دستکاری فقط دو خط کد توانسته است آسیب پذیری روز صفرم که منجر به بارگذاری یک افزونه بر روی هسته سیستم عامل "Sierra" شرکت اپل و دسترسی به هسته آن میشود را کشف کند.
دسترسی به هسته سیستم عامل مک باعث دسترسی به کل این سیستم عامل میشود. شرکت اپل قبلا اقداماتی برای مقابله با هکرها و بدافزارهایی که موجب نفوذ به این سیستم عامل در هنگام بارگذاری افزونه به هستهی این سیستم عامل میشدند، انجام داده است، ولی متاسفانه تلاشهای اپل در این زمینه خیلی موثر نبوده است.
شرکت اپل در پاسخ به این حمله از معرفی قابلیت جدیدی به نام " User Assisted Kernel Extension Loading" به منظور افزایش امنیت این سیستم عامل خبر داد. این قابلیت به کاربران مک این امکان را میدهد که بتوانند به صورت دستی و با کلیک بر روی دکمهی تایید، افزونهای را در هستهی این سیستم عامل بارگذاری کنند.
شرکت اپل به خوبی از این واقعیت آگاه است که مهاجمان قبلا از این روش برای دور زدن مکانیزمهای امنیتی این سیستم عامل استفاده میکردند و به همین دلیل در نسخههای اخیر سیستم عامل مک مانند "Sierra" از روشهای فیلتر کردن (و به صورت انتخابی نادیده گرفتن) استفاده میکند.
به گفتهی Patrick Wardle، مدیر تحقیقاتی شرکت Digital Security : "قبل از اینکه مهاجم بتواند یک افزونهی امضا شده را در هستهی این سیستم عامل بارگذاری کند نیاز است تا بر روی دکمهی تایید کلیک کند. این مکانیزم امنیتی اخیر به منظور جلوگیری از حملات ناشی از بارگذاری کد در هستهی سیستم عامل طراحی شده است. اگر این مکانیزم از کار بیفتد، سیستم با مشکل جدی مواجه میشود."
Wadle نقصی را در سیستمعامل High Sierra کشف کرده است که به واسطهی آن دو بار رویداد down ماوس باعث گیج شدن سیستم میشود و سیستمعامل آن را بهعنوان یک کلیک قانونی میبیند.
این سیستمعامل دو down پشت سر هم را به عنوان "down" و "up" ترجمه میکند. و بدتر از آن اینکه در نتیجه این ترجمه، به نظر میرسد که رویداد "up" به طور مستقیم از سیستم عامل فیلتر نشده است. به عبارت دیگر، می توان از آن برای تعامل با رابط کاربری "Sierra" که تلاش می کند از بارگیری برنامههای هسته جلوگیری کند، استفاده کرد.
پاتریک وردل اذعان داشته که این باگ امنیتی را به طور کاملا تصادفی و هنگامی که در حال کپی کردن کد بوده است کشف کرده است!
وی اذعان داشت:"اینکه دو خط کد این مکانیزم امنیتی را فلج میکند و چنین حملهی بی اهمیتی موثر واقع میشود، و این خود جای تامل دارد. من واقعا خجالت میکشم که بیش از این در مورد این ضعف امنیتی صحبت کنم چون واقعا ساده است — برای شرکت اپل نیز بخاطر این ضعف امنیتی متاسفم!!!"
وی خاطر نشان کرد که در نسخهی بعدی سیستم عامل مک (Mojave)، اپل تصمیم به مسدود کردن تمامی این رویدادها کرده است.
سیاست اتخاذ شده توسط شرکت اپل به طور کلی از حملاتی که بر اساس رویدادهای مصنوعی هستند جلوگیری کرده، همچنین بر برنامههایی که به طور قانونی از چنین رویدادهایی استفاده می کنند، تاثیر گذار خواهد بود.