اصلاحیه‌های اپل برای آسیب‌پذیری GateKeeper

محققی که نقص‌های این گزارش را بررسی کرده است اپل دو سهل‌انگاری در رفع آسیب‌پذیری نرم‌افزارهای مخربی داشته است که قابلیت‌های امنیتی OS X Gatekeeper را دور می‌زنند، و دو بار نیز روش‌های موقت را برای رفع این آسیب‌پذیری‌ها ارائه کرده است.
آخرین بررسی برای رسیدگی به این مشکل در روز پنج‌شنبه منتشر شد و به نظر می‌رسد که اپل دوباره قدم‌هایی برداشته است تا این مشکل فوری را که به طور خصوصی توسط مدیر تحقیق Synack، آقای پاتریک واردل به عنوان یک اقدام موقت تا زمان یک راه حل جامع، حل کند.
این ماجرا از ژانویه‌ی گذشته آغاز شد؛ هنگامی که واردل مشکلی را در Gatekeeper گزارش داد، این قابلیت که به نسخه‌ی Mountain Lion از سامانه‌ی عامل OS X اضافه شده است قرار است این رایانه‌ها را از خطر بارگذاری بدافزارهای آلوده و نامطمئن از اینترنت حفاظت کند. Gatekeeper تضمین می‌کند که تنها نرم‌افزارهایی که با گواهی‌نامه‌ی‌ توسعه‌ی نرم‌افزاری اپل امضاء شده باشند و یا از فروشگاه اپل بارگیری شده باشند، قابلیت اجرا داشته باشند.
واردل درست قبل از انتشار خبرنامه‌ی گزارش بدافزار خود در ماه سپتامبر و دوباره در دسامبر، به طور خصوصی آسیب‌پذیری CVE-۲۰۱۵-۷۰۲۴ را به اپل گزارش داد. او به اپل اعلام کرد که Gatekeeper تنها اجرای اولیه‌ی نرم‌افزارهایی را که کاربر بر روی آن‌ها دو بار کلیک می‌کند بررسی می‌کند. واردل گفته است که اگر پرونده‌ی اولیه با یک پرونده‌ی اجرایی دیگر در یک پوشه کنار هم قرار داشته باشند، پس از بررسی و تأیید نشدن پرونده‌ی اولیه، Gatekeeper پرونده‌ی دوم را بررسی نمی‌کند.
واردل می‌گوید: «بنابراین این بدان معناست که من می‌توانم یک بسته‌ی نصب یا یک پرونده‌ی فشرده بسازم به طوری که وقتی کاربر بر آن کلیک کند به عنوان امضاهای اپل شناخته شود و Gatekeeper آن را تأیید کند. این کار به خاطر پرونده‌ی اجرایی (آلوده) دیگری صورت می‌گیرد که در پشت صحنه هستند که در همان بسته‌ی اجرایی قرار گرفته و قابل اجرا هستند.»
اپل این مشکل را در ماه اکتبر اصلاح کرد، اما تنها به شکل یک فهرست سیاه باینری‌ها که واردل با کد اثبات مفهومی خود ارائه کرده بود. واردل به Threatpost گفته است که برای او سی ثانیه طول می‌کشد تا اصلاحیه‌ی اصلی را با باینری‌های دیگر دور بزند، و همین موضوع دوباره در مورد اصلاحیه‌ی بعدی اپل با همان روی‌کرد قبلی صدق می‌کند، به جز این‌که آن را در XProtect قابلیت جدید ضدبدافزاری سامانه‌ی OS X پیاده‌سازی کرده است.
واردل می‌گوید: «به عقیده‌ی من نرم‌افزارهای زیادی وجود دارند که می‌توانند برای بهره‌برداری از این نقص مورد استفاده قرار گیرند، بنابراین به نظر من درست کردن فهرست سیاه، یک ایده‌ی بسیار بد است. به خصوص که اگر قرار است مشکلی با اصلاحیه برطرف شود. این کار به کاربران نوعی امنیت کاذب می‌دهد. بنابراین اگر من یک نفوذگر (شرور) OS X باشم، شروع به معکوس کردن اصلاحیه‌های اپل برای تغییر شکل حفره‌های اصلی می‌کنم و اگر اصلاحیه به شکل ضعیفی اداره شده و یا نادرست مدیریت شود (که در این مورد رخ داده است) یک روز هم برای نقض آن طول نمی‌کشد. من فکر می‌کنم که برای اپل بهتر این است که صبر کند و یک اصلاحیه‌ی جامع ارائه کند که به طور کامل موضوع را پوشش دهد.»
واردل در حال برنامه‌ریزی برای ارائه‌ی یک سخن‌رانی در ShmooCon در واشنگتن در مورد تحقیق Gatekeeper خود است. همچنین انتظار می‌رود که او یک بسط کرنل را به نام Ostiarius به شکل متن‌باز انتشار دهد که از اجرای باینری‌های تأییدنشده‌ای که از اینترنت بارگذاری شده‌اند جلوگیری کند.
واردل می‌گوید: «این ابزار به شما یک بررسی کامل از همه‌ی فرآیندهایی که در حال اجرا هستند ارائه می‌کند. به وسیله‌ی آن می‌توانید مشاهده و بررسی کنید که این پرونده‌ی از اینترنت بارگذاری شده است یا نه و اگر با استانداردهای Gatekeeper منطبق باشد، می‌تواند تأیید شده و مجاز دانسته شود. نکته‌ی جالب در این کرنل این است که این کد اهمیتی نمی‌دهد که این برنامه از طریق دو بار کلیک از سوی کاربر اجرا می‌شود یا این‌که به وسیله‌ی یک پرونده‌ی اجرایی ثانویه اجرا می‌گردد. اینجا یک نقطه‌ی عمومی است که از آن می‌توانید همه‌ی فرآیندهای خود را که اجرا شده‌اند ببینید. با این ابزار می‌توان فرآیندهای جدیدی را که اجرا شده‌اند دید و بررسی کرد که از اینترنت بارگذاری شده و تأیید نشده‌اند، و در صورت لزوم آن‌ها را مسدود کرد.»
در عین حال او گفت که کاربران سامانه‌ی عامل مک در معرض خطر باقی می‌مانند، به ویژه اگر مهاجم در وضعیت مرد میانی روی شبکه قرار داشته باشد و یا اگر در حال بارگیری برنامه‌ها از یک وب‌گاه تأیید نشده باشد، بسیاری از سازمان‌ها گواهی‌نامه‌ی توسعه‌ی محصولات اپل را برای ساخت برنامه‌های تجاری برای OS X و iOS دارند و این برنامه‌ها را خارج از اپل‌استور منتشر می‌کنند. واردل می‌گوید که برنامه‌هایی که با استفاده از اتصالات ناامن HTTP بارگیری شده به ویژه در برابر حملات تزریق در صورتی که مهاجمان در آن زمان روی شبکه قرار داشته باشند، آسیب‌پذیر هستند.
واردل می‌گوید: «Gatekeeper قبلاً باید آن‌ها را کشف و مسدود کرده باشد. اکنون با استفاده از این فنون، مهاجمان می‌توانند Gatekeeper را دور زده و کاربران نیز از اینکه بدافزار در سامانه‌ی آن‌ها قرار دارد اطلاعی ندارند و در پی آن به طور کامل آلوده شده و بازی تمام خواهد شد.»
واردل گفت که اپل به آن‌ها گفته است که این اصلاحیه یک اصلاحیه‌ی کاملاً هدف‌مند است و آن‌ها در حال کار روی یک راه حل جامع هستند.
وارد می‌گوید: «آن‌ها برخی از نگرانی‌های گذشته را دارند و نمی‌خواهند که برخی از محصولات موجود را دست‌کاری کنند. استدلال من برای صحبت در این مورد آن است که برای من به معنای واقعی کلمه تنها پنج دقیقه طول کشید تا اصلاحیه‌ی اپل را دور بزنم و یک باینری جدید پیدا کنم.»
واردل می‌گوید: «من تعجب نمی‌کنم اگر نفوذگران و دشمنان کاری مشابه این انجام دهند. این یک راه حل خوب برای آلوده کردن سامانه‌ی عامل مک است. قبل از این‌که Gatekeeper ایجاد شود، تروجان‌های زیادی به آلوده کردن کاربران مک می‌پرداختند، و به همین دلیل بود که اپل تصمیم گرفت Gatekeeper را ارائه کند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.