محققان امنیتی اعلام کردند بیش از یک دهه قبل تاکنون محصولات اپل گرفتار یک آسیبپذیری رفعنشده هستند.
منبع : سایبربان
محققان امنیتی اعلام کردند بیش از یک دهه قبل تاکنون محصولات اپل گرفتار یک آسیبپذیری رفعنشده هستند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیت در شرکت نرمافزاری اوکتا (Okta) میگویند اکثر محصولات امنیتی شخص ثالث تولیدشده برای اپل از مدتها قبل تحتتأثیر یک کد مخرب، آسیبپذیر هستند.
این آسیبپذیری به مهاجم اجازه میدهد با فریب دستگاه و معرفی خود به نام اپل، به مکبوکهای این شرکت دسترسی پیدا کند. همچنین به نظر می رسد این باگ امنیتی از سال ۲۰۰۵ و عرضه سیستم عامل «OSX Leopard» وجود داشته و از آن بهرهبرداری شدهاست.
اپل گزارشی در ماه فوریه از این آسیبپذیری ارائه کرد، اما به اوکتا توضیح داد که این موضوع به محصولات شخص ثالث مرتبط میشود. اپل گفت که اکنون در حال بهروزرسانی مستنداتی است که چگونگی ساخت ابزارهای فهرست سفید را برای مک به ارتقادهندگان نرمافزار توضیح میدهد.
ابزارهای لیست سفید شرکتهای Chronicle ،Carbon Black ،Facebook ،F-Secure ،Google ،Objective Development و Objective-See ازجمله مواردی بودند که موفق به دریافت فایلهای با گواهینامههای اصلاحشده در آزمون امضای کد اوکتا نشدند.
شرکت مذکور اعلام کرد که تقریباً همه محصولات شخص ثالث متمرکزشده روی امنیت اپل، مستعد خطا هستند.
امضای کد، یک فرایند استاندارد شده با استفاده از زیرساختهای کلیدی عمومی است که برای اطمینان از منشاء قابل اعتماد و عدم اصلاح کد از آن بهره گرفتهمیشود.
مقامات شرکت مذکور ادامه دادند: برخلاف برخی از نمونههای کشفشده قبلی، این آسیبپذیری برای دور زدن بررسی امضای کد به دسترسی مدیریت، کد (JIT’ing) یا فریب حافظه نیاز ندارد. تنها پارامتر مورد نیاز یک فایل «Fat/Universal» و مقدار معتبر بررسیهای امضای کد است.
اوکتا بهطور خلاصه اشاره کرد: این نقص امنیتی میتوانست از زمان معرفی OSX Leopard در سال ۲۰۰۵ مورد سوءاستفاده قرار گرفتهباشد؛ چرا که این نقص از مزیت پشتیبانی چند پردازنده سیستم عامل مکینتاش در قالب یک فایل (Fat/Universal) ناقص استفاده میکند. ما از هرگونه استفاده قبلی از این شیوه توسط هکرها اطلاعی نداریم.
اوکتا افزد: به کمک سازمان سرت آمریکا (CERT/CC) همه خردهفروشیهایی که تحتتأثیر آسیبپذیری مذکور قرار داشتند، شناسایی و نسبت به آن مطلع شدند. به علاوه اوکتا نیز ۲۱ ژوئن به منظور اطمینان از این که مردم نرمافزار سختافزارهای خود را بهروزرسانی میکنند، یک اطلاعیه عمومی منتشر کرد. امیدواریم جامعه تحقیقاتی امنیتی بتواند به مشارکت خود ادامه دهد تا درباره سوءاستفاده نشدن از باگ امضای کد مطمئن شویم.