קרדיט: Pexels
משתמשי Mac שימו לב: פגיעות שנחשפה לאחרונה ב-gatekeeper של macOS - הידועה גם בשם ניצול "Cavallarin" - נוצלה על ידי יוצרי תוכנות פרסום. אלו זמנים כאלה שבהם אנו נזכרים בעצה הטובה ביותר לשמירה על ה-Mac שלך מוגן מפני בעיות מסוג זה: כאשר יש לך ספק, התקן אפליקציות מ-Mac App Store אומהימןמקורות של צד שלישי, לא סתם משהו שמצאת באינטרנט.
איך פועל הניצול של Cavallarin
שומר השער של macOS בודק את כל התקנות האפליקציות כדי לאשר שהן אפליקציות שאושרו על ידי Apple. אם אפליקציה לא קיבלה את "הכל ברור" מאפל, שומר הסף יפסיק את ההתקנה ויודיע למשתמש. אתה עדיין יכול להתקין את האפליקציה שלך, אתה רק צריך לאשר במפורש את ההתקנה - במילים אחרות, "האם אתה באמת רוצה לעשות את זה?" תבדוק מהצד של אפל.
חוקר האבטחה Filippo Cavallarin (ומכאן החלק "Cavallarin" של שם הניצול) גילה שהקריטריונים של Gatekeeper לאפליקציות "אמינות"יש פגם רצינישמאפשר לאפליקציות לא מהימנות להערים על שומר הסף לתת להם מעבר חופשי. עקב הרשימה הלבנה של Gatekeeper של התקנות מכוננים חיצוניים ושיתופי רשת, כך עלולה להתקפה לפעול:
"תוקף יוצר קובץ zip המכיל קישור סמלי לנקודת קצה לטעינה אוטומטית שהיא/הוא שולט בה (לדוגמה Documents -> /net/evil.com/Documents) ושולח אותו לקורבן.
הקורבן מוריד את הארכיון הזדוני, מחלץ אותו ועוקב אחר הסמל.
כעת הקורבן נמצא במיקום שנשלט על ידי התוקף אך מהימן על ידי Gatekeeper, כך שניתן להפעיל כל קובץ הפעלה הנשלט על ידי התוקף ללא כל אזהרה. האופן שבו Finder מעוצב (לדוגמה, הסתר הרחבות .app, הסתר נתיב מלא מסרגל הכותרת) הופך את הטכניקה הזו ליעילה מאוד וקשה לזהות אותה."
Cavallarin גילה את המעקף לפני מספר שבועות ונתנה לאפל 90 יום לתקן אותו. אפל לא הגיבה, אז Cavallarin חשפה את הניצול ב-24 במאי. גם לאחר החשיפה לציבור, אפל עדיין לא תיקנה את הבעיה, וכעת צוות המחקר של תוכנות זדוניות ב-אינטגוראו את הסימנים הראשוניים של ניצול שומר הסף מופיעים באינטרנט.
Intego עקבה אחר ארבע דוגמאות תוכנות זדוניות שהועלו ל-Virustotal ב-6 ביולי, וכל אחת מתמונות הדיסק הללו הצביעה על אותה אפליקציה שעלולה להיות זדונית בשרת בודד ומקושר. מאוחר יותר נקבע כי אלו היו בדיקות מוקדמות - עבור תוכנות זדוניות המוכרות כיום בשם "OSX/Linker" - וצוות Intego חושד שהן מבוצעות על ידי אותם מפתחים שמאחורי התוכנה הזדונית OSX/Surfbuyer.
בעוד ש"בדיקה" לא נשמעת נוראית מדי בשלב זה, אנליסט האבטחה של Intego ג'ושוע לונג מציין שטבעה של הפגיעות הזו משאיר דלת פתוחה לתרחישים גרועים יותר:
...מכיוון שהאפליקציה בתוך תמונות הדיסק מקושרת באופן דינמי, היא עשויה להשתנות בצד השרת בכל עת - מבלי שתצטרך לשנות את תמונת הדיסק כלל. לפיכך, ייתכן שאותן תמונות דיסק (או גרסאות חדשות יותר שמעולם לא הועלו ל-VirusTotal) יכלו לשמש מאוחר יותר להפצת אפליקציה שהוציאה למעשה קוד זדוני ב-Mac של הקורבן.
כיצד למנוע ניצול פוטנציאלי של Cavallarin ב-Mac
בשלב זה, שיטת המניעה הקלה ביותר היא להיצמד לאפליקציות שאושרו על ידי אפל מ-App Store מעל הכל, ולחוש חשד בריא לגבי אפליקציות שאתה מוריד ממקורות שאינך מזהה. לא ברור כמה זמן ייקח לאפל לתקן את הפגיעות הזו ב-macOS.
הפרמיה של IntegoVirusBarrier X9וגמישותתוכניות אנטי-וירוס הוסיפו את איום מערכת ההפעלה/קישור לרישום שלהן, ואתה יכול גם להשתמש בחינםסורק VirusBarrierכדי לבדוק את המערכת שלך עבור כל איומים ידועים הקשורים לניצול. אלה יופיעו תחת איומים שזוהו בתור "OSX/Linker". Intego מבקשת ממשתמשים שנדבקו ליצור איתם קשר באמצעותםטופס הגשה מקוון.
ישנן שיטות מניעה אחרות שאתה יכול לחקור עבור המערכת שלך, אך הן מסוכנות יותר, מכיוון שהן דורשות השבתה ועריכה של אמצעי אבטחה קריטיים של macOS. אתה יכולעיין בפוסט בבלוג של Intego על ניצול Cavallarinלמידע נוסף, אך אנו ממליצים פשוט לתרגל הרגלים מקוונים בטוחים יותר. ואם יש לך ספקות לגבי מה שאתה עומד להתקין במחשב שלך, תן לו סריקת וירוסים מהירה לפני שתמשיך.
ברנדן הסה
ברנדן הוא כותב עצמאי ויוצר תוכן מפורטלנד, אורג'יניה. הוא מכסה טכנולוגיה וגיימינג עבור Lifehacker, וכתב גם עבור Digital Trends, EGM, Business Insider, IGN ועוד.