در نحوهی پیادهسازی واسطهای برنامهنویسی امضای کد اپل، توسط شرکتهای امنیتی شخص ثالث، یک آسیبپذیری چندساله کشف شده است. مهاجم با بهرهبرداری از این آسیبپذیری میتواند بررسیهای امنیتی اپل را دور بزند. میلیونها کاربر اپل در معرض بهرهبرداری از این آسیبپذیری قرار گرفتهاند.
یک محقق امنیتی از شرکت Okta کشف کرد که چندین محصول امنیتی شخص ثالث برای مک مانند محصولات Little Snitch ،F-Secure xFence ،VirusTotal، Google Santa و Facebook OSQuery میتوان کاری کرد که برنامه باور کند که یک کد مخربِ امضاءنشده، توسط اپل امضاء شده است. سازوکار امضای کد یک راه حیاتی برای مقابله با بدافزار است که به کاربر کمک میکند تا بفهمد چه کسی برنامه را امضاء کرده و کد مربوط به آن دستکاری نشده است.
با این حال این محقق امنیتی نشان داد که در برخی از محصولات امنیتی برای مک، این سازوکار بررسی امضای کد قابل دور زدن است. این دور زدن اجازه میدهد تا کد مخرب در قالبی ارائه شود که مانند برنامهی قانونی عمل میکند و شرکت اپل آن را امضاء کرده است.
نکتهای که باید به آن اشاره شود این است که این آسیبپذیری مربوط به سیستم macOS نبوده و مربوط به نحوهی پیادهسازی واسطهای برنامهنویسی اپل برای امضای کد توسط برنامههای امنیتی شخص ثالث است. این برنامههای شخص ثالث زمانیکه با فایلهای اجرایی مک Universal/Fat مواجه میشوند، در پیادهسازی واسطهای برنامه نویسی امضای کد آنها مشکل وجود دارد.
برای بهرهبرداری از این آسیبپذیری، مهاجم باید از فرمتهای باینری Universal/Fat که حاوی تعدادی فایل Mach-O هستند و برای پردازندههای با معماریهای مختلف نوشته شدهاند استفاده کند. این محقق چندین فایل جعلی با فرمتهای Universal/Fat را بهعنوان کد اثبات مفهومی تولید کرده تا تولیدکنندگان این محصولات امنیتی بتوانند این آسیبپذیری را بررسی کنند. مهاجم با بهرهبرداری موفق از این آسیبپذیری میتواند به اطلاعات شخصی، جزئیات مالی و حتی اطلاعات حساس داخلی دسترسی داشته باشد.
در ادامه شرکتهایی که محصولات امنیتی آنها برای اپل تحت تاثیر این آسیبپذیری قرار گرفته را به همراه شناسهی آسیبپذیری برای هر محصول مشاهده میکنید.
VirusTotal (CVE-2018-10408)
Google—Santa, molcodesignchecker (CVE-2018-10405)
Facebook—OSQuery (CVE-2018-6336)
Objective Development—LittleSnitch (CVE-2018-10470)
F-Secure—xFence and LittleFlocker (CVE-2018-10403)
Objective-See—WhatsYourSign, ProcInfo, KnockKnock, LuLu, TaskExplorer and others (CVE-2018-10404)
Yelp—OSXCollector (CVE-2018-10406)
Carbon Black—Cb Response (CVE-2018-10407)
این محقق امنیتی ابتدا این آسیبپذیری را در ماه مارس به شرکت اپل گزارش داد ولی اپل معتقد بود که این اشکالی نیست که توسط این شرکت برطرف شود. در ادامه شرکت امنیتی با CERT/CC تماس گرفت تا به تمامی شرکتهای شخص ثالث که محصولاتشان تحت تاثیر قرار گرفته، اطلاع داده شود تا در اسرع وقت این آسیبپذیری را وصله کنند.
شکرت گوگل از این محقق و از این شرکت امنیتی تشکر کرده و با بهروزرسانی در Santa در اواخر ماه آوریل این آسیبپذیری را وصله کرده است. بنابراین به کاربران اکیدا توصیه میشود تا به آخرین نسخهی محصول Santa v0.9.25 بهروزرسانی انجام دهند. شرکت فیسبوک نیز در آخرین نسخهی Osquery این آسیبپذیری را برطرف کرده که در حال حاضر قابل دانلود است. F-Secure هم برای کاربران xFENCE بهروزرسانی خودکاری را در نظر گرفته تا آسیبپذیری را وصله کند.
اگر شما نیز از محصولاتی که فهرست آنها در بالا ارائه شد، استفاده میکنید توصیه میکنیم تا در چند روز آینده پیگیر آخرین بهروزرسانی این محصولات باشد و هرچه سریعتر آنها را نصب کنید تا جلوی بهرهبرداری از این آسیبپذیری در این محصولات گرفته شود.