ثغرة أمنية في نظام ماك macOS منذ 6 أشهر لم يتم إصلاحها حتى الآن

كيفية استغلال هذه الثغرة من قبل الهاكرز وموقف آبل بشأنها

في العام الماضي، قامت آبل Apple بتوسيع برنامج مكافأة الأمان ليشمل macOS بعد عدة سنوات من تقديم الشيء نفسه لمطوري آيفون iPhone.

ولكن وفقاً لواحد من الباحثين على الأقل، فإن الشركة لا تتصرف بالسرعة الكافية من أجل بعض ممارسات استغلال الثغرات.

فقد أبلغ المطور Jeff Johnson شركة آبل Apple عن ثغرة سمحت للمهاجمين بسرقة بيانات خاصة مع استنساخ خبيث من سفاري Safari منذ أكثر من ستة أشهر.

بمجرد خداع المستخدم لتنزيل الملف الضار، يتم منح تطبيق سفاري Safari المزيّف وصولاً غير مبرر بواسطة macOS. ثم يصبح أي ملف مقيد متاح لتطبيق سفاري Safari الأصلي متاحاً للمهاجم.

يوضح جونسون أن الثغرة تعمل لأن حماية خصوصية آبل Apple تقوم بإجراء فحص فيه بعض الأخطاء لأصالة الملف، وهذا يعني أنه يمكن تشغيل النسخة المعدلة من سفاري Safari دون تفعيل الحماية المذكورة.

في هذه الحالة ، يجب أن يؤذن (من آبل Apple) فقط لـ سفاري Safari و Finder بالوصول إلى الملفات الموجودة في ~/Library/Safari، ما لم تمنح إذناً خاصاً لتطبيق آخر، مثل منح الوصول الكامل إلى القرص إلى Terminal.

التطبيق المصمم ضار يمكنه أيضاً الوصول إلى هذه الملفات، دون الحصول على إذن. يوجد في الواقع تطبيقان ضاران هنا: إصدار معدّل من سفاري Safari، والذي يصل إلى الملفات المحمية، والتطبيق الذي يعدل سفاري Safari ويطلق الإصدار المعدل منه.

يمكن لأي تطبيق تقوم بتنزيله من الويب تحقيق تجاوزات حماية الخصوصية هذه. حيث يقوم النموذج المستنسخ بتحميل بعض بياناتك الخاصة (على سبيل المثال، أفضل المواقع الخاصة بك) إلى خادم تتحكم فيه، لأن هذا أمر سهل القيام به عندما يمكننك تشغيل أي جافاسكريبت JavaScript تريده.

ونعم، هذه الثغرة موجودة على الإصدار التجريبي الحالي Big Sur من macOS 11. من المفارقات إلى حد ما، أن شركة آبل Apple قامت بعمل كبير حول تحديثات سفاري Safari في أحدث نظام تشغيل لها.

يقول جونسون إن أبل Apple أخبرته أن الشركة لا تزال تحقق في المشكلة، بعد أن أخبرته في البداية أنه سيتم حلها في ربيع عام 2020.

بالطبع، العالم غارق حالياً في وباء مستمر، ويعمل الموظفون في جميع أنحاء العالم مع محدودية مصادر؛ من المحتمل أن يكون هذا الشيء قد أسهم في التأخير.

مقالات قد تعجبك:

الهند حظرت تطبيقات تيك توك TikTok ووي تشات WeChat وتطبيقات أخرى
مايكروسوفت ستكشف قريباً عن نسخة ثانية للجيل الجديد من إكس بوكس
شاومي أعلنت عن هواتف Redmi 9C و 9A
كيفية تجاوز قفل الشاشة والتحقق من حساب جوجل على أجهزة أندرويد
كيفية حماية حساب واتساب من الاختراق
كيفية تقليل المساحة المستخدمة من قبل تطبيق واتساب على أندرويد وآيفون
تعليقات
جاري تحميل التعليقات ...