WWDC2022-2023 היא לא החדשות הרציניות היחידות על שולחנות המהנדסים של אפל הבוקר.
אם היא מנוצלת כראוי, אפליקציה זדונית עלולה להטעות את ה- MacBook שלך, או כל סוג Mac הנוכחי שלך, לחשוב שזה אתה ולעשות מה שהוא רוצה. חוקר האבטחה פטריק וורדל, קצין המחקר הראשי בחברת Digita Security, חשף אתמול (2 ביוני) פרצת אבטחה ב- macOS בכנס במונקו שכונה Objective by the Sea.
לרוע המזל, אפל עדיין לא תיקנה את הפגם הזה, וורדל סיפר לחברה על כך רק בשבוע שעבר. כדי להגן על עצמך, עליך להיזהר מאוד ביישומים שאתה מוריד ישירות מהאינטרנט. עדיף להישאר בחנות האפליקציות הרשמית של Mac.
לחיצות רוח רפאים
הבעיה, לדברי וורדל, היא שאפל מאפשרת לקומץ יישומים מדור קודם (בעיקר גרסאות ישנות יותר של אפליקציות עדכניות כגון נגן המדיה הפופולרי VLC) להמשיך להשתמש ב"קליקים סינתטיים ", תכונה שאפשרה ליישומים לעקוף את מכשולי האבטחה האחרונים של אפל. על ידי חיקוי משתמש מורשה שהרשות שלו נדרשת לאפשר פעולות מסוימות.
על פי EclecticLight.co, רשימת האפליקציות מדור קודם שאפל רשמה כדי להשתמש בקליקים סינתטיים כוללת גרסאות ישנות של Steam, VLC, Sonos Mac Controller ו- Logitech Manager.
לאחר שוורדל וחוקרים אחרים הראו בקיץ שעבר כיצד ניתן להשתמש בלחיצות סינתטיות לתקיפת מחשבי Mac, אפל סגרה את הדלת לתכונה באמצעות macOS Mojave. אך על מנת לאפשר לאפליקציות מדור קודם להמשיך ולתפקד - וורדל הזהיר שהריגת קליקים סינתטיים לגמרי "תשבור יישומים לגיטימיים רבים" - אותן אפליקציות ישנות יותר קיבלו ויתור.
"זה מתסכל כחוקר כל הזמן למצוא דרכים לעקוף את ההגנות של אפל", אמר וורדל ל- Threatpost. "הייתי נאיבי לחשוב שאין האקרים אחרים או יריבים מתוחכמים שמצאו גם חורים דומים בהגנות אפל".
לא בודקים את החדרים
לאפל יש הגנה נוספת. היא מאפשרת רק ליישומים ברשימת ההיתרים של אפל להשתמש בקליקים סינתטיים, בין אם יישומים אלה מדור קודם ובין אם לאו. הבעיה היא שתהליך האימות פגום מאוד.
MacOS מאמת את האפליקציות רק על ידי בדיקת החתימות הדיגיטליות שלהן, ולא על ידי בדיקת הקוד בפנים של אותן אפליקציות או מוודא שהן לא טוענות קוד נוסף לאחר שהן מתחילות לפעול. אתמול הוכיח וורדל כי חששותיו תקפים על ידי הזרקת תוסף זדוני ל- VLC, כזה שיכול לבצע קליקים סינתטיים - פעולות משתמש מזויפות - שאפל בדרך כלל חוסמת באפליקציות.
תארו לעצמכם סוכן אבטחה של TSA שבודק רק את תעודת הזהות שלכם ואינו מחליק את המטען שלכם דרך מגש הסריקה. זה הנושא כאן.
"הדרך שבה הם יישמו את מנגנון האבטחה החדש הזה, הוא נשבר במאה אחוז", אמר וורדל ל- Wired. "אני יכול לעקוף את כל אמצעי הפרטיות החדשים של Mojave."
מרמה את המשתמש
לא קשה להערים על משתמשים להתקין יישומים שהושחתו ונשקו נגד המשתמש. דוגמה מרכזית לכך התרחשה בחיים האמיתיים במרץ 2016 עם שידור הלקוחות הפופולרי של BitTorrent.
תוקף אולי אפילו לא צריך לרמות אף אחד. בשנת 2016, וורדל הראה כיצד עדכון פגום לתוכנות לגיטימיות שהמשתמש כבר התקין - בדוגמה זו, Kaspersky Internet Security for Mac - יכול לעקוף את כל מנגנוני האבטחה של אפל להדביק מק.
שיטות אבטחה מרושלות
דיבורו האחרון של וורדל דווח על ידי מספר חנויות, כולל The Register.
איך זה קרה? וורדל אמר ל- The Register כי "אם כל חוקר אבטחה או מישהו באפל עם חשיבה אבטחה היה מבקר את הקוד הזה, הם היו שמים לב לזה. ברגע שאתה רואה את הבאג הזה, הוא טריוויאלי".
"הם לא בודקים את הקוד", הוסיף. "היי מיישמים את תכונות האבטחה החדשות הללו, אך המציאות היא שלעתים קרובות הם מיושמים בצורה לא נכונה."
- מדוע WWDC תביא עידן חדש לאפל