یک ابزار رایگان از کاربران مک در برابر نظارت وب‌کم حفاظت می‌کند!

۱۹ربودن وب‌کم یک کاربر، یکی از تکنیک‌ها برای نظارت بر کابران است. در بسیاری از موارد مهاجم از چند نمونه بدافزار آگاه از وب‌کم استفاده می‌کند تا بی سر و صدا وب‌کم را روشن کرده و در ماشین قربانی شروع به ضبط صدا و ویدئو نماید.
با انجام این کار، همچنین یک چراغ LED که در کنار وب‌کم تعبیه شده روشن خواهد شد که نشانه‌ای برای فعال شدن وب‌کم است و کاربر متوجه می‌شود که یک عملیات غیرعادی و خارج از انتظار رخ داده است.

متخصص امنیت مک و مدیر بخش پژوهش Synack، پاتریک واردل۱ قابلیت جدیدی را روز پنج‌شنبه در کنفرانس بین‌المللی بولتن ویروس ۲۰۱۶ ارائه کرد که می‌تواند در فرآیندهای macOS قانونی مورد سوءاستفاده قرار بگیرد. این قابلیت به مهاجم اجازه می‌دهد زمانی که برنامه‌هایی همچون Skype ،FaceTime و یا Google Hangouts اجرا می‌شوند، بر روی وب‌کم قربانی سوار شود. با بدست آوردن وب‌کم علاوه بر اینکه مهاجم می‌تواند به جاسوسی بپردازد و به‌طور مثال مکالمه‌ی حساس و مهم بین شرکای تجاری را شنود کند، دیگر نگرانی در خصوص روشن شدن وب‌کم و چراغ LED ندارد.

در پاسخ به این تهدید، واردل دیروز یک ابزار نظارتی با نام OverSight را معرفی کرد که بر فرآیندهای داخلی macOS نظارت می‌کند تا وب‌کم و میکروفن ماشین را مدیریت کند و زمانی‌که فرآیندی به این سرویس‌ها دسترسی یافت، به کاربر هشدار دهد. در ادامه کاربر می‌تواند تصمیم بگیرد که به این جلسه اجازه دهد یا آن را مسدود نماید.

واردل گفت: «این ابزار می‌تواند فعال شدن وب‌کم و میکروفن را اعلام کند ولی چیزی که مهم‌تر است اینکه می‌تواند گزارش دهد کدام یک از فرآیندها به این سرویس دسترسی پیدا کرده و آیا این فرآیند توسط شخص دیگری ایجاد شده یا خبر. زمانی‌که این مسئله تشخیص داده شد، کاربر تصمیم می‌گیرد که این فرآیند را مسدود کند. همچنین گزارشی از این فعالیت در بخش syslog سامانه ثبت می‌شود تا مدیر محیط کاری در مراحل بعدی بتواند آن‌ها را تحلیل و بررسی نماید.»

واردل که در طول ۲ سال گذشته دسته‌ای از ابزارهای امنیتی مک را منتشر کرده است، گفت ظهور نمونه‌های بدافزار مک مانند Eleanor ،Crisis و Mokes همگی برای جاسوسی در بستر مک هستند و او را برآن داشته تا وقت زیادی را در این زمینه صرف کند.
Eleanor و Mokes نمونه‌های اخیر بدافزار مک هستند که این تابستان به ترتیب توسط شرکت‌های بیت‌دیفندر و کسپرسکی کشف شدند. Eleanor یک درب ِ پشتی تند و زشت است که یک سرویس مخفی Tor را ایجاد می‌کند و به مهاجم اجازه می‌دهد تا ماشین آلوده‌شده را از راه دور کنترل نماید و همچنین نظارت‌های صوتی و ویدئویی نیز انجام می‌دهد. واردل گفت او همچنین ابزار متن‌باز Wacaw ارسال کرده که قابلیت ضبط تصویر و ویدئوها را فراهم می‌کند. در عین حال Mokes نیز یک درب ِ پشتی است که به سرقت داده‌ها، تصاویر، ویدئوها و صوت‌ها از ماشین‌های اپل، ویندوز و لینوکس آلوده‌شده می‌پردازد.

واردل می‌گوید: «ما اخیراً تمایل زیادی را در بدافزارهای مک مشاهده کرده‌ایم که به ضبط کارهایی که کاربر انجام می‌دهد، علاقه‌مند هستند.»
واردل گفت که کلید اصلی در این مسئله فعال کردن قانونی LED است که در شرایط ویژه‌ای توسط مهاجم و با دسترسی فیزیکی می‌تواند غیرفعال شود که مهاجم می‌تواند سامانه عامل و فرآیندهای سامانه را برنامه‌نویسی مجدد نماید. واردل گفت اپل مراحلی را برای کاهش این ریسک از طریق ایزوله کردن فرآیندها و سخت کردن هک آن‌ها انجام داده است.

کلید اصلی برای بدافزار جدید این است که مهاجم بداند به‌طور مثال چه موقع جلسه‌ی مربوط به استفاده از وب‌کم را آغاز کرده است. بدافزاری که توسط واردل در جولای سال ۲۰۱۵ از گروه هک leak بررسی شده است نشان داد که کد مخرب دوربین مشاهده شده است و فرآیندهای مرتبط با دوربین از طریق چارچوب بنیادی AV از اپل شمارش شده است. با استفاده از این چارچوب، مهاجم می‌تواند این فرآیندها را شمارش کرده و از طریق Apple CoreMediaIO Device Abstraction Layer از اعلان‌ها مطلع شود تا بداند یک جلسه کی شروع و کی تمام شده است تا بداند کی ضبط برای جاسوسی را شروع و تمام کند.

واردل می‌گوید: «این فرآیندها جالب‌ترین چیزی است که بدافزار باید آن را ضبط کند. او منتظر می‌ماند تا کاربر یک جلسه‌ی قانونی را شروع کند که از وب‌کم استفاده می‌نماید. زمانی که بدافزار این مسئله را تشخیص داد، شروع به ضبط و خروج داده می‌کند. این موضوع دیگر نیاز به دسترسی ریشه ندارد و نگرانی در خصوص روشن بودن چراغ LED نیز وجود ندارد و همچنین نشانه‌ای از اینکه بدافزار بر روی ترافیک سوار و در حال ضبط داده است نیز وجود نخواهد داشت.»

واردل می‌گوید ابزار Oversight می‌تواند فرآیند اولیه و متعاقبی را تشخیص دهد. هشداری که به کاربر نمایش داده می‌شود شامل نام فرآیندهایی است که از وب‌کم استفاده می‌کنند به‌طور مثال OSX/Mokes. همچنین این ابزار گزینه‌ی مسدود کردن فرآیند را نیز ارائه می‌کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap