تسمح الثغرة الأمنية في macOS للتطبيقات غير المصرح بها بتجاوز نظام حماية الخصوصية

تسمح الثغرة الأمنية في macOS للتطبيقات غير المصرح بها بتجاوز نظام حماية الخصوصية

Share on facebook
Share on twitter
Share on google
Share on pinterest
Share on reddit
Share on telegram
Share on whatsapp
Share on facebook

اكتشف مطور macOS ثغرة تؤثر على macOS Mojave و Catalina وحتى macOS Big Sur. تكتسب الثغرة إمكانية الوصول إلى الملفات المحمية على جهاز Mac الخاص بك عن طريق تجاوز نظام الأمان. ظهر نظام حماية الخصوصية المعروف باسم TCC (الشفافية والموافقة والتحكم) لأول مرة في macOS Mojave. تم تقديمه بغرض حماية ملفات معينة على جهاز Mac الخاص بك من الوصول عن طريق التطبيقات غير المصرح بها.

يوضح المطور كيف يمكن لمستخدم أنشأ تطبيق Mac الوصول إلى محتوى الملف المقيّد بواسطة TCC. ويوضح كذلك أن شركة TCC لديها “عيبان أساسيان”. يتحقق TCC بشكل سطحي من توقيع الرمز للتطبيق. علاوة على ذلك ، تستند الاستثناءات في TCC إلى معرف الحزمة وليس مسار الملف.

 

وبالتالي ، يمكن للمهاجم إنشاء نسخة من تطبيق في موقع مختلف على القرص ، وتعديل موارد النسخة ، وستظل نسخة التطبيق ذات الموارد المعدلة تتمتع بنفس الوصول إلى الملف مثل التطبيق الأصلي ، في هذه الحالة ، سفاري.

إثبات المفهوم

أنشأ المطور تطبيق إثبات المفهوم الذي يستغل الثغرات باستخدام خلل في Safari. كجزء من الجهد ، قام المطور بإنشاء إصدار مخصص لمتصفح Safari قادر على الوصول إلى الملفات المحمية ونقل البيانات إلى الخادم. علاوة على ذلك ، يتم تسليم الحمولة من خلال تطبيق ثانٍ يقوم بتنزيل وإطلاق Safari المخصص.

وفقًا للجدول الزمني ، اكتشف المطور لأول مرة الخطأ في سبتمبر من العام الماضي وأبلغ Apple بذلك في ديسمبر. ردت شركة Apple وأكدت أنه سيتم إصلاح الخطأ في ربيع 2020. في الشهر الحالي ، اكتشف المطور أن الخطأ موجود في macOS Big Sur Beta 1. وفي الوقت نفسه ، ردت شركة Apple وتقول “ما زالوا يحققون في المشكلة”.

أدخلت شركة آبل TCC في نظام macOS Mojave. بعبارة أخرى ، جهاز Mac الخاص بك ليس أفضل من الإصدار القديم الذي يعمل بنظام Mac والذي لا يدعم TCC. يعتقد المطور أن حماية خصوصية macOS هي “مسرح أمان بشكل أساسي ولا تضر إلا بمطوري Mac الشرعيين”. مسرح الأمان هو عندما يتم تقديم ميزة جديدة لغرض وحيد هو جعل المستخدمين يشعرون بأمان أكبر دون فعل الكثير لتحقيق ذلك.

عبر  Lapcatsoftware

0 0 vote
Article Rating
Subscribe
نبّهني عن
guest
0 تعليقات
Inline Feedbacks
View all comments

تسمح الثغرة الأمنية في macOS للتطبيقات غير المصرح بها بتجاوز نظام حماية الخصوصية