Güvenlik uzmanları, Apple’ın yanlışlıkla kötü amaçlı yazılımların Mac’lerde çalışması için yetki verdiğini ortaya çıkardı. Görüldükten kısa bir süre sonra düşürülen Shlayer adlı ürün, bir tür reklam virüsü olarak biliniyor.

Cupertino tabanlı teknoloji canavarı Apple, kötü amaçlı yazılımların uygulama mağazasına girmesini önlemek için son derece titiz yönergelere sahiptir. Kuruluş, bugüne kadarki en zor stratejiyi benimsedi ve mühendislerin uygulamalarını bir yıl önce teslim edilmeden önce güvenlik kontrolleri için Apple’a sunmalarını bekliyor.

Apple ‘ın “onay” olarak adlandırdığı bu döngüde, bir uygulama güvenlik ve kötü niyetli madde için filtreleniyor. Onaylandığında, Mac’in temelindeki güvenlik denetimi programı olan Gatekeeper, uygulamanın çalışmasına izin verir. Güvenlik testini bombalayan uygulamalar reddedilir ve çalışması durdurulur.

Apple Tarafından Onaylı İlk Mac Kötü Amaçlı Yazılım Bulundu:

Ünlü Mac güvenlik bilimcisi Patriwk Wardle ile birlikte çalıştığı Diminish Dantini, Adobe Flash yükleyici görünümlü bir kötü amaçlı yazılım bulduğunu söylüyor. Çok normal olan bu tür bir programlama oldukça uzun bir süredir var ve çoğu açıldığında Mac tarafından engelleniyor. Bununla birlikte, Dantini ve Wardle, tesadüfen Apple tarafından onaylanan ana ikinci Mac programlamayı bulduklarını belirtiyorlar.

Wardle, Apple’ın kötü amaçlı yazılım tarafından kullanılan kodu doğruladığını doğruladı, Kaspersky ise bunun Mac’lerin 2019’da baktığı “en normal tehlike” olduğunu söyledi. Shlayer adlı ünlü kötü amaçlı yazılım, daha güçlü tanıtımlara yardımcı olan bir tür “reklam virüsü” programlaması olarak bilinir. PC istemcilerinin web alıştırmalarını ve eğilimlerini takip ederek teknikleri.

TechCrunh’da paylaştığı bir blog yazısında Wardle, “Bildiğim kadarıyla bu bir ilk” dedi ve bunun da Apple’ın zararlı kodu gönderirken ve Mac’lerde çalışması için onayladığında tanımlamayı ihmal ettiğini ima ettiğinin altını çizdi. Daha sonra Apple, kötü amaçlı yazılımın Mac’lerde çalışmasını önleyerek onaylanan kodu düşürdü. Bir Apple temsilcisi TechCrunch’a, “Kötü amaçlı yazılım sürekli olarak değişiyor ve Apple’ın yasal resmi onay çerçevesi, kötü amaçlı yazılımları Mac’ten uzak tutmamıza ve bulunduğunda hemen tepki vermemize neden oluyor. Bu reklam virüsünü bulduktan sonra, tanınan varyasyonu kaldırın.” tasarımcı hesabı ve ilgili kimlik doğrulamalarını reddetti. Müşterilerimizin korunmasına yardımcı olan uzmanlara çok minnettarım. “

Apple kısa bir süre önce iOS ve macOS’ta bir saldırganın bir müşterinin. iCloud hesabına onaylanmamış erişimi artırmasına olanak tanıyan bir güvenlik zayıflığını düzeltti.

 BT güvenlik firması Computest’te güvenlik uzmanı olan Thijs Alkemade tarafından Şubat ayında ortaya çıkan kusur. Apple’ın TouchID (veya FaceID) biyometrik vurgulamasını yürütmesinde yaşadı ve müşterilerin Safari’deki sitelerde, açık bir şekilde Apple ID girişlerini kullananlara giriş yapmalarını doğruladı.

 Sorun, güvenilir açıklama programı aracılığıyla Apple’a açıklandıktan sonra, iPhone yaratıcısı, çalışan tarafı güncellemesindeki güvenlik açığını giderdi.

Bir Kimlik Doğrulama Hatası

Kusurun odak nedeni aşağıdaki gibidir.  İstemcilerin Apple Kimliği gerektiren bir sitede oturum açmaya çalıştıkları noktada, Touch ID’yi kullanarak girişi doğrulamak için bir özet gösterilir.  Bunu yapmak iki faktörlü onay adımını önler, çünkü şu andan itibaren kanıt, örneğin gadget (sahip olduğunuz bir şey) ve biyometrik veriler (olduğunuz bir şey) ayırt etmek için bir değişkenler karışımı kullanmaktadır.

Apple alanlarına (örneğin “icloud.com”) girişler sırasında karmaşıklık, bir kimlik ve gizli kelime içeren standart yol; burada site, Apple’ın oturum açma onayı çalışanını vurgulayan bir iframe (iFrame, bir sayfa içine dökümanlar, videolar ve interaktif medya yerleştirmenizi sağlayan bir HTML elementi) yükler (“https://idmsa.apple.com”)  , onay prosedürünü gerçekleştirir.

Video gösterimde görüldüğü gibi, iframe URL’si de aynı şekilde iki farklı sınır içerir – yönetimi tanıyan bir “client_id” (örneğin, iCloud) ve verimli onaydan sonra yönlendirilecek URL’ye sahip bir “redirect_uri”.

Her durumda, bir istemcinin TouchID kullanarak onaylandığı durumda, iframe, biyometrik doğrulama ile başa çıkmak ve böylece bir jetonu (“grant_code”) kurtarmak. için AuthKit arka plan programı (akd) ile konuşması bakımından farklı şekilde ele alınır.  giriş prosedürüne devam etmek için icloud.com sayfası tarafından kullanılır.

 Bunu yapmak için, arka plan programı “gsa.apple.com” üzerinde, talebin inceliklerini gönderdiği ve belirteci alacağı bir API ile konuşur.  Computest tarafından bulunan güvenlik kusurları, daha önce sözü edilen gsa.apple.com API’sinde yaşıyor. Ve bu da, onay almadan. Bir müşteri kimliğini kontrol etmek için bu alanları elle tutmayı varsayıyor.

 Alkemade, “client_id ve redirect_uri’nin kendisine akd tarafından gönderilen bilgiler için hatırlanmasına rağmen, yönlendirme URI’sinin müşteri kimliğini koordine ettiğini izlemedi” dedi.  “Aksine, AKAppSSOExtension tarafından mekanlara uygulanan bir beyaz liste vardı. apple.com, icloud.com ve icloud.com.cn ile bitirilen tüm alanlara izin verildi.”

Bu, bir saldırganın, iCloud müşteri kimliğini kullanarak bir giriş özetini tetikleyebilecek ve icloud.com’da bir toplantı almak için ödül. Jetonunu tetikleyebilecek kötü niyetli bir JavaScript kodu parçası çalıştırmak için. Apple’ın alt alan adlarından herhangi birinde siteler arası bir komut dosyası zayıflığını kötüye kullanabileceğini ima ediyor.

İCloud Hesaplarını Devralacak Sahte Noktaları Ayarlama

 Farklı bir durumda, saldırı, bir Wi-Fi düzenlemesiyle ilişkilendirilirken gösterilen sayfaya JavaScript yüklenerek. (“captive.apple.com” aracılığıyla), bu satırlar boyunca saldırganın  o sayfadaki bir TouchID özetini tolere ederek bir müşterinin kaydı.

 Alkemade, “Zararlı bir Wi-Fi sistemi, OAuth’u iCloud olarak başlatan JavaScript içeren bir sayfaya tepki verebilir.”  “Müşteri bir TouchID özeti alır, ancak neye maruz kaldığı belirsizdir. İstemcinin bu özeti doğrulaması durumunda toplantı jetonu zararlı siteye gönderilir ve saldırgana iCloud’daki kayıtları için bir toplantı verir.”

 “Müşterilerin bir rehine ağ geçidi almayı umdukları bir alanda (örneğin bir hava terminalinde, konaklama yerinde veya tren istasyonunda) sahte bir erişim noktası kurarak, takviyelere erişime izin veren sayısız iCloud hesabına erişmek düşünülebilirdi.  resimler, telefonun alanı, kayıtlar ve çok daha fazlası. “

 Bu, Apple’ın doğrulama çerçevesinde güvenlik sorunları bulunan ilk çalıştırma değil.  Mayıs ayında, Apple Apple ile oturum aç” çerçevesini etkileyen ve uzak saldırganların doğrulamayı azaltmalarını ve Apple’ın oturum açma seçimini kullanarak listelenen dış yöneticiler ve uygulamalardaki odaklanmış müşterilerin kayıtlarını devralmalarını mümkün kılabilecek bir kusur düzeltti.