هشدار مایکروسافت به اپل: خطر افشای دادههای کاربر با آسیبپذیری در macOS
اخبار داغ فناوری اطلاعات و امنیت شبکه
مایکروسافت یک آسیبپذیری macOS را کشف کرده است که میتواند مهاجمان را قادر بهدسترسی به دادههای محافظتشده کاربران کند و نسبت به احتمال بهرهبرداری فعال از آن، هشدار داده است.
این نقص که "HM Surf" نام دارد، به مهاجمان اجازه میدهد تا از فناوری شفافیت، رضایت و کنترل (TCC) سیستم عامل برای دسترسی به دادههای حساس کاربر، ازجمله صفحات مشاهده شده مرورگر و دوربین، میکروفون و مکان دستگاه، دسترسی داشته باشد.
این آسیبپذیری با عنوان CVE-2024-44133 و با درجهبندی شدت متوسط شناسایی شده است.
مایکروسافت یافتههای خود را با اپل به اشتراک گذاشت که متعاقبا رفع نقصی را بهعنوان بخشی از بروزرسانیهای امنیتی برای macOS Sequoia در ۱۶ سپتامبر ۲۰۲۴ منتشر کرد.
از کاربران macOS خواسته شده است که بروزرسانیها را در اسرع وقت اعمال کنند و در همین حال مایکروسافت فعالیتهای بهرهبرداری بالقوه مرتبط با Adload که یک خانواده رایج بدافزار macOS است را شناسایی نموده است.
چگونه مهاجمان میتوانند محافظتهای macOS را دور بزنند
مایکروسافت گفت که بهرهبرداری از این نقص، شامل حذف حفاظت TCC برای فهرست مرورگر سافاری و تغییر یک فایل پیکربندی در دایرکتوری است.
فناوری TCC، فناوری است که از دسترسی برنامهها به اطلاعات شخصی کاربران، ازجمله خدماتی مانند خدمات مکان، دوربین، میکروفون، فهرست دانلودها و غیره، بدون رضایت و اطلاع قبلی آنها جلوگیری میکند.
بای پس TCC را میتوان با استفاده از حق com.apple.private.tcc.allow TCC در Safari، که مرورگر پیشفرض macOS است، بهدست آورد. این به برنامه اجازه میدهد تا بررسیهای TCC را برای سرویسهایی که در این پالیسی ذکر شدهاند، بهطور کامل دور بزند.
مرورگرهای شخص ثالثی که در macOS قابل استفاده هستند، ازجمله گوگل کروم، موزیلا فایرفاکس و مایکروسافت اج، از حقوق حریم خصوصی مشابه سافاری برخوردار نیستند، به این معنی که نمیتوان از آنها برای دور زدن بررسیهای TCC استفاده کرد.
محققان مایکروسافت دریافتند که Safari پیکربندی خود را در فایلهای مختلف در فهرست اصلی کاربر (~/Library/Safari) حفظ میکند. این فهرست شامل چندین فایل مورد علاقه، ازجمله تاریخچه مرورگر کاربر، لیست دانلودها و لیست مجوزها است.
آنها توانستند فایلهای حساس را در دایرکتوری هوم اصلی کاربر (مانند /Users/$USER/Library/Safari/PerSitePreferences.db) تغییر داده و فهرست اصلی را دوباره تغییر دهند تا سافاری از فایلهای اصلاحشده استفاده کند.
این مورد به آنها اجازه داد تا سافاری را اجرا کرده و صفحه وب را باز کنند که یک عکس فوری با دوربین میگیرد و مکان دستگاه را ردیابی میکند.
در یک سناریوی واقعی، یک مهاجم میتواند از این تکنیک برای انجام فعالیتهای زیر استفاده کند:
• عکس را در جایی میزبانی کند تا بعدا بهصورت خصوصی آنرا دانلود کند.
• کل اتفاقات را با دوربین استریم کرده و ذخیره کند.
• صدای دریافتی از میکروفون را ضبط و آن را در سرور دیگری پخش کند یا آن را آپلود نماید.
• به مکان دستگاه دسترسی پیدا کند.
مایکروسافت اعلام کرد که فعالیت مشکوکی را در دستگاه مشتری مشاهده کرده است که نشان میدهد Adload میتواند از آسیبپذیری HM Surf سواستفاده کند.
مایکروسافت در پایان افزود: «از آنجایی که ما نتوانستیم مراحل انجام شده منجر به فعالیت را مشاهده کنیم، نمیتوانیم به طور کامل تعیین کنیم که آیا کمپین Adload از آسیبپذیری HM Surf خود سواستفاده میکند یا خیر. مهاجمانی که از روشی مشابه برای بهکارگیری یک تهدید رایج استفاده میکنند، اهمیت محافظت در برابر حملات با استفاده از این تکنیک را افزایش میدهد».
برچسب ها: macOS Sequoia, CVE-2024-44133, HM Surf, TCC, AdLoad, Browser, سافاری, macOS, Safari, cybersecurity, Apple, اپل, آسیبپذیری, Vulnerability, malware, جاسوسی سایبری, مایکروسافت, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news