آسیب‌پذیری روز صفر اپل که منجر به حمله‌ی کلیک-ماوس می‌شود

خلاصه: علی رغم همه‌ی رفع اشکالات انجام شده، آسیب پذیری روز صفرم شرکت اپل منجر به حملات "کلیک-موس" به منظور دسترسی به کرنل شده است! و البته دسترسی به هسته سیستم عامل مک باعث دسترسی به کل این سیستم عامل می‌شود.

 

علی رغم رفع اشکالات انجام شده، آسیب پذیری روز صفرم شرکت اپل منجر به حملات "کلیک-موس" به منظور دسترسی به کرنل شده است!

یک محقق با دستکاری فقط دو خط کد توانسته است آسیب پذیری روز صفرم  که منجر به بارگذاری یک افزونه بر روی هسته سیستم عامل  "Sierra" شرکت اپل و دسترسی به هسته آن می‌شود  را کشف کند.

 

دسترسی به هسته سیستم عامل مک باعث دسترسی به کل این سیستم عامل می‌شود. شرکت اپل قبلا اقداماتی برای مقابله با هکرها و بدافزارهایی که موجب نفوذ به این سیستم عامل در هنگام بارگذاری افزونه به هسته‌ی این سیستم عامل  می‌شدند،  انجام داده است، ولی متاسفانه تلاش‌های اپل در این زمینه خیلی موثر نبوده است.

 

 

شرکت اپل در پاسخ به این حمله از معرفی قابلیت جدیدی به نام " User Assisted Kernel Extension Loading" به منظور افزایش امنیت این سیستم عامل خبر داد. این قابلیت به کاربران مک این امکان را می‌دهد که بتوانند به صورت دستی و با کلیک بر روی دکمه‌ی تایید، افزونه‌ای را در هسته‌ی این سیستم عامل بارگذاری کنند.

 

شرکت اپل به خوبی از این واقعیت آگاه است که مهاجمان قبلا از این روش برای دور زدن مکانیزم‌های امنیتی این سیستم عامل استفاده می‌کردند و به همین دلیل در نسخه‌های اخیر سیستم عامل مک مانند "Sierra" از روش‌های فیلتر کردن (و به صورت انتخابی نادیده گرفتن) استفاده می‌کند.

 

به گفته‌ی Patrick Wardle، مدیر تحقیقاتی شرکت Digital Security : "قبل از اینکه مهاجم بتواند یک افزونه‌ی امضا شده را در هسته‌ی این سیستم عامل بارگذاری کند نیاز است تا بر روی دکمه‌ی تایید کلیک کند. این مکانیزم امنیتی اخیر به منظور جلوگیری از حملات ناشی از بارگذاری کد در هسته‌ی سیستم عامل طراحی شده است. اگر این مکانیزم از کار بیفتد، سیستم با مشکل جدی مواجه می‌شود."

 

Wadle نقصی را در سیستم‌عامل High Sierra کشف کرده است که به واسطه‌ی آن دو بار رویداد down ماوس باعث گیج شدن سیستم می‌شود و سیستم‌عامل آن را به‌عنوان یک کلیک قانونی می‌بیند.

این سیستم‌عامل دو down پشت سر هم را به عنوان "down" و "up" ترجمه می‌کند. و بدتر از آن اینکه در نتیجه  این ترجمه، به نظر می‌رسد که رویداد "up" به طور مستقیم از سیستم عامل فیلتر نشده است. به عبارت دیگر، می توان از آن برای تعامل با رابط کاربری "Sierra" که تلاش می کند از بارگیری برنامه‌های هسته جلوگیری کند، استفاده کرد.

پاتریک وردل اذعان داشته که این باگ امنیتی را به طور کاملا تصادفی و هنگامی که در حال کپی کردن کد بوده است کشف کرده است!

وی اذعان داشت:"اینکه دو خط کد این مکانیزم امنیتی را فلج می‌کند و چنین حمله‌ی بی اهمیتی موثر واقع می‌شود، و این خود جای تامل دارد. من واقعا خجالت میکشم که بیش از این در مورد این ضعف امنیتی صحبت کنم چون واقعا ساده است — برای شرکت اپل نیز بخاطر این ضعف امنیتی متاسفم!!!"

وی خاطر نشان کرد که در نسخه‌ی بعدی سیستم عامل مک (Mojave)، اپل تصمیم به مسدود کردن تمامی این رویدادها کرده است.

 

سیاست اتخاذ شده توسط شرکت اپل به طور کلی از حملاتی که بر اساس رویدادهای مصنوعی هستند جلوگیری کرده،  همچنین بر برنامه‌هایی که به طور قانونی از چنین رویدادهایی استفاده می کنند، تاثیر گذار خواهد بود.