contador Saltar al contenido

الضعف في macOS Mojave يسمح بالهجمات من خلال التطبيقات المصابة –

marzo 31, 2020
الضعف في macOS Mojave يسمح بالهجمات من خلال التطبيقات المصابة - MacMagazine.com

في آب (أغسطس) الماضي ، تحدثنا هنا على الموقع عن ثغرة أمنية في macOS High Sierra أتاحت المجال للهجمات عن بُعد من خلال المكالمات نقرات اصطناعية أي ، إجراءات مشابهة للنقرة ولكن يتم إجراؤها بواسطة برنامج بصمت. علقنا مؤخرًا على أن macOS Mojave (وإصداراته اللاحقة) ستزيل المشكلة ببساطة عن طريق تعطيل النقرات الاصطناعية مرة واحدة وإلى الأبد. ولكننا نعلم الآن أن الأمر ليس كذلك.

الباحث باتريك واردل كشف نفس الشخص الذي اكتشف الثغرة الأمنية في أغسطس الماضي مؤخرًا أن نظام macOS Mojave لا يزال يواجه مشكلة تتعلق بالنقرات الاصطناعية ، على الرغم من أنه منع الإجراء. تم الكشف عن النتائج التي توصل إليها في مؤتمر الهدف عن طريق البحر في موناكو.

يتم شرح ذلك: افتراضيًا ، يمنع Mojave فعلًا النقرات الاصطناعية من أي نوع ، ولكن العائق ليس واسع الانتشار. ومع ذلك ، تعتمد بعض التطبيقات ذات الأسس الأقدم على الميزة لتشغيل مثال o VLC، الذي يحتاج إلى نقرات اصطناعية لإنشاء إجراءات أساسية وتنشيط المكونات الإضافية. لكي تعمل هذه التطبيقات على الإصدارات الأحدث من macOS ، تسمح Apple لها بمواصلة أداء النقرات ، طالما أنها تمتلك شهادة أمان رقمي صالحة.

وهنا تكمن المشكلة: وفقًا لـ Wardle ، يعاني macOS Mojave من خلل في عملية فحص الشهادات الرقمية للتطبيقات. تم تصميم هذه الشهادات لإصدار رسالة خطأ إذا تم اختراق التطبيق أو تنفيذ إجراءات ضارة بحيث يقوم النظام ، في مثل هذا الوقت ، بحظر تشغيله على الفور. ومع ذلك ، يتحقق Mojave فقط من وجود مثل هذه الشهادة في طلب معين ، دون التحقق من أنها "نظيفة" بشكل صحيح.

احتيال باتريك واردل حول ضعف النقرات الاصطناعية في macOS Mojave

من خلال ذلك ، يمكن للتطبيقات المخترقة الوصول إلى مكونات Mac الحساسة ، مثل الميكروفون أو الكاميرا أو الرسائل أو الموقع أو حتى العناصر الأعمق ، مثل Terminal و نواة الجهاز. يمكنهم أيضًا السماح لك بتثبيت برامج أخرى يحتمل أن تكون ضارة ، أو حتى الوصول إلى مفاتيح النظام.

أبلغ Wardle شركة Apple عن الثغرة الأمنية قبل الكشف عنها للعالم ، لكن Ma لم يعلق على الحالة ؛ من المتوقع أن يعمل مهندسو الشركة بلا كلل على حل ، لأن الفشل خطير. سننتظر أي أخبار عن القضية.

عبر TechCrunch