info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

من می‌توانم اپل باشم!! شما هم همینطور!

خلاصه: مکانیزم امضای کد یکی از روش‌های احراز هویت توسعه دهندگان نرم‌افزار است. این مکانیزم در محصولات اپل دچار یک ضعف امنیتی است که امکان سو استفاده از آن و امضای بدافزار‌ها را به عنوان توسعه دهندگان مجاز را فراهم می‌نماید. این امر موجب می‌شود بدافزار امضا شده به این صورت بسیاری از مکانیزم‌های امنیتی را دور بزند. اپل این مساله را آسیب‌پذیری سیستم عامل تلقی نکرده و معتقد است که توسعه‌دهندگان باید این امر را برطرف نمایند.

 

 

یک آسیب‌پذیری چندین ساله روی سیستم عامل مک اپل موجب دور زدن API امضای کد اپل می‌شود و برای بدافزار‌ها دور زدن مکانیزم‌های امنیتی را ساده تر می‌نماید.

محققان مرکز امنیتی Okta دریافته‌اند که بعضی از محصولات امنیتی تولید شده توسط شرکت‌های دیگر برای اپل شامل Little Snitch، Fsecure xFence، ویروس توتال، گوگل سانتاو OSQuery فیس‌بوک می‌توانند فریب داده شوند و به برنامه‌های مخربی که با کمک این ضعف امنیتی امضا شده‌اند اجازه اجرا می‌دهند و آن‌ها را تایید شده تلقی می‌کنند.

مکانیزم امضای کد یک ابزار قدرتمند و لازم برای مقابله با بدافزار‌ها و برنامه‌های مخرب است و به کاربران این امکان را می‌دهد که طرفی که برنامه را امضا نموده شناسایی کرده و بتوانند به تولید کننده برنامه مورد نظر اطمینان کنند.

با این حال، جاش پیتز، یکی از کارشناسان شرکت Okta دریافته است که امکان دور زدن مکانیزمی که بسیاری از محصولات برای بررسی این امضای دیجیتال استفاده می‌کنند وجود دارد. این مساله موجب می‌شود که امکان اضافه کردن کد امضا شده اپل  به فایل‌های آلوده باشد و این برنامه‌ها به صورت برنامه‌های تولید شده توسط اپل شناخته شوند.

باید اشاره نمود که این مساله یک آسیب‌پذیری روی سیستم عامل مک نیست و مشکل از نحوه پیاده‌سازی API امضای کد اپل توسط توسعه دهندگان برنامه در زمان برخورد با فایل‌های Universal/Fat است. مهاجم برای حمله نیاز به یک فایل با فرمت Fat‌ یا Universal دارد که برای معماری‌های مختلف پردازنده‌ها نوشته شده است.

این کارشناسان تعدادی فایل Fat/Universal به عنوان اثبات آسیب‌پذیری ساخته‌اند تا توسعه دهندگان بتوانند با کمک آن‌ها محصولات خود را در مقابل این آسیب‌پذیری تست کنند.

حمله موفق با استفاده از این آسیب‌پذیری به مهاجم امکان دسترسی به اطلاعات شخصی، اطلاعات بانکی و حتی اطلاعات حساس دیگری می‌شود.

این محققان پس از کشف این آسیب‌پذیری در ماه مارس، اپل را از آن مطلع نموده‌اند؛ اما اپل آن را به عنوان یک آسیب‌پذیری که آن‌ها باید اقدامی برای رفع آن انجام دهند تشخیص نداده است. پس از این پاسخ اپل، این تیم پس از در جریان قرار دادن CERTCC همه شرکت‌هایی که تحت تاثیر این آسیب‌پذیری هستند را برای تولید وصله‌های رفع آسیب‌پذیری مطلع نموده است.

تا کنون شرکت‌های گوگل، فیس‌بوک و Fsecure‌ برای محصولات خود وصله رفع آسیب‌پذیری را منتشر نموده‌اند. به کاربران توصیه می‌شود که اگر از این محصولات استفاده می‌نمایند، هرچه زودتر آن‌ها را به‌روز نمایند.