امکان نصب بدافزار در مک به‌دلیل آسیب‌‌پذیری Gatekeeper

اشکالی در قابلیت گیت‌کیپر MacOS که برای محافظت از مک دربرابر بدافزارها طراحی شده، باعث شده‌ بسته‌ی نرم‌افزاری مخربی به‌نام OSX/Linker براساس آن منتشر شود. فیلیپو کاوایارین، محقق حوزه‌ی امنیت،اکسپلویتی کشف کرده‌ که براساس دو قابلیت پایه‌ی مک کار می‌کند. این قابلیت‌ها گیت‌کیپر (Gatekeeper) و اتومانت (Automount) هستند. 

باتوحه‌به بررسی‌های تامز گاید، گیت‌کیپر فایل‌های دانلودشده از اینترنت را برای بررسی به آنتی‌ویروس XProtectاپل می‌فرستد؛ ولی فایل‌های دریافتی حافظه‌ی محلی را که خود به‌وسیله‌ی اتومانت بالا آمده (اصطلاحا مانت‌شده) باشد، امن به‌حساب می‌آورد و آن‌ها را بررسی نمی‌کند. بر‌همین‌‌اساس، کاوایارین موفق شد گیت‌کیپر را گول بزند و فایلی را که دانلود شده‌ بود، به‌عنوان فایلی از درایو محلی جا بزند و بدین‌صورت، پروتکل‌های معمول شناسایی را دور بزند. 

گفته شده کاوایارین در فوریه، وجود این مشکل را به اپل گزارش داده بود؛ ولی ازآنجاکه این مشکل برطرف نشد، جزئیات آن را در ۲۴مه منتشر کرد. 

 

بدافزار OSX/Linker که برای این حفره نوشته شده‌، تلاش می‌کند مک را در دست بگیرد (به‌اصطلاح هایجک کند) و بدین‌ترتیب، از آن برای هرگونه فعالیت بدخواهانه‌ای استفاده کند که مهاجمان بخواهند؛ از استخراج ارز دیجیتال گرفته تا دزدی اطلاعات. 

این کد تاکنون چهار دفعه در ویروس‌توتال، پایگاهی که محققان از آن برای شناسایی و به‌اشتراک‌گذاری بدافزارها استفاده می‌کنند، بارگذاری شده‌ است. هرچند این تعداد نسبتا کم است و هم‌اکنون نیز این بدافزار را نرم‌افزار اینتگو (Intego) و احتمالا سایر آنتی‌ویروس‌ها شناسایی می‌کنند. 

محافظت از خود دربرابر OSX/Linker کار ساده‌ای است؛ به‌ویژه اگر پروتکل‌های استانداردی مانند دانلودنکردن از منابع ناشناس را رعایت کنید. همچنین، می‌توان قابلیت اتومانت را غیرفعال کرد؛ ولی با انجام این کار کاربران مجبور می‌شوند درایوهای خارجی خود را در هر بار استفاده دستی قطع و وصل کنند. 





تاريخ : یک شنبه 9 تير 1398برچسب:, | | نویسنده : مقدم |