نقص امنیتی macOS برای مدتی دسترسی هکرها به محصولات اپل را ممکن کرده بود

محققان امنیتی مایکروسافت از آسیب‌پذیری جدیدی برای سیستم عامل macOS خبر دادند که به مهاجمان اجازه می‌داد از سیستم حفاظت یکپارچه (SiP) مک عبور کنند و به دستگاه کاربران کنترل داشته باشند. این آسیب‌پذیری حالا برطرف شده است.

این آسیب‌پذیری که «Shrootless» نامیده می‌شود، از این حقیقت استفاده می‌کند که بسته‌های نصب اپلیکیشن قانونی اپل همچنان می‌توانند فعالیت‌هایی را انجام دهند که معمولا توسط فناوری امنیتی SiP ممنوع می‌شود.

در پست وبلاگ تیم تحقیقاتی 365 Defender مایکروسافت نوشته شده پس از دور زدن محدودیت‌های SiP، مهاجم می‌تواند یک درایور هسته مخرب (rootkit) را نصب کرده، فایل‌های سیستم را بازنویسی کند یا بدافزارهای دائمی و غیرقابل شناسایی روی آن نصب کند.

به طور معمول، این نوع حملات توسط فناوری SiP که اولین بار در maCOS 10.11 El Capitan معرفی شد، شناسایی و مسدود می‌شوند. ویژگی امنیتی اپل در سطح هسته و در برابر تغییر برخی فایل‌های خاص macOS نوعی نیرو دفاعی اضافه می‌کند که حتی اپلیکیشن یا کاربر دارای امتیاز و دسترسی نیز نمی‌تواند آن را دور بزند.

با این وجود، همانطور که مایکروسافت خاطر نشان می‌کند، SiP در هنگام نصب یک اپلیکیشن یا فایل جدید دیگر، باید به بسته‌های نصبی اجازه دهد تا به صورت موقت از ویژگی‌های حفاظتی عبور کنند. مشکل اینجاست که بسته‌های نصبی می‌توانند حاوی کدهای پس از نصبی باشند که macOS آن‌ها را اجرا می‌کند. اگر هکری این اسکرپیت‌ها را تغییر دهد، می‌تواند سیستم امنیتی SiP را به راحتی دور بزند.

هرچند این تکنیک به صورت کلی به استفاده از بسته‌های نصبی مخرب توسط کاربران بستگی دارد، اما روش‌های زیادی وجود دارد که یک هکر بتواند کاربران را برای دانلود بسته نصبی مخرب خود فریب دهد. در ادامه مهاجمان می‌توانند روی سیستم موردنظر خود حملات دیگری را طراحی کنند.

البته اپل در مک‌او‌اس مانتری ۱۲.۰.۱ و همچنین به‌روزرسانی‌های امنیتی macOS Big Sur و macOS Catalina این آسیب‌پذیری را برطرف کرده است. اما نسخه‌های قدیمی‌تر همچنان در معرض این خطر قرار دارند، بنابراین توصیه می‌شود کاربران سیستم‌های خود را ارتقا دهند.