شرکت اپل یک رخنه در نرم افزارهای iCloud و Itunes برای ویندوز را وصله کرده است. این رخنه امنیتی به وسیله بدخواهان مورد استفاده قرار گرفته بود تا از دید برنامههای امنیتی مخفی بمانند.
مطالعه نمایید: اپل اپلیکیشنهای استخراجکنندهی ارز دیجیتال را روی IOS ممنوع میکند تا از کاربران محافظت کند
به بیان دقیقتر، این رخنه در سرویس Bonjour وجود داشت. این سرویس مکانیزمی برای به روز رسانی برنامهها و خدمات اپل است. Bonjour با برنامههای فوق الذکر نصب میشود در حالی که برنامه iTunes در حال از رده خارج شدن است.
مطالعه نمایید: اپل نرم افزار جاسوسی گوگل را حذف میکند.
محققان Morphisec این رخنه امنیتی و کد مخرب مرتبط را کشف کردند. به گفته آنان این کد مرتبط با یک کمپین ادامهدار و مخرب است که شش ماه در حال هدف قرار دادن شرکتهای دولتی و خصوصی آمریکایی با باج افزار BitPaymer است.
مطالعه نمایید: آیفون دست دوم بخرید اما مراقب باشید
رخنه مورد سواستفاده قرار گرفته مرتبط با نداشتن علامت گیومه در یک مسیر فایل است. زمانی کد مخرب فعال میشود که مسیر یک فایل اجرایی که دارای کاراکتر فاصله است به شکل اشتباه درون علامت گیومه قرار نمیگیرد.
به گفته یکی از محققین Morphisec
«امروزه برنامهنویسان بیشتر و بیشتر از زبانهای شیگرایی استفاده میکنند و اکثر اوقات متغیرهای رشتهای را گیومهگذاری نمیکنند و فکر میکنند تنها نوع رشته بودن آن کافی است – و این اشتباه است. مسیر فایل باید گیومهگذاری شود.»
رخنههای مشابه و مرتبط با مسیر فایل گیومهگذاری نشده بیشتر اوقات در موارد گرفتن مجوز سطح بالا استفاده میشوند اما در این مورد برای فرار از برنامههای امنیتی استفاده شده. حتی کاربرانی که برنامه iTunes را حذف کنند باز هم در معرض خطر هستند چون سرویس Bonjourجداگانه نصب میشود.
این محقق میگوید «نتایج یک تحقیق ما را شگفت زده کرد. این نتایج نشان میداد که سرویس بونجور روی تعداد کثیری از کامپیوترهای سازمانهای زیادی نصب شده است. تعداد زیادی از این کامپیوترها سالیان گذشته برنامه iTunes را حذف کرده بودند اما نسخه قدیمیای از سرویس ذکر شده در پس زمینه فعال بوده است. پس از این اکتشاف ما هدف حمله را شناسایی کردیم و متوجه انگیزه مهاجم برای انتخاب این برنامه شدیم.»
اپل با نسخه ۱۲.۱۰.۱ نرمافزار iTunes شروع به وصله این رخنه روی ویندوز کرد. این شرکت برای این رخنه یک اعلان امنیتی منتشر نکرد اما در توصیه نامه امنیتی مربوطه از این محقق قدردانی کرد. با این حال شرکت اپل هنوز کار دارد چون مؤسسه Morphisec رخنههای مشابه بیشتری را در نرمافزار iTunes و نصاب آن پیدا کرده است .
به گفته این محقق «اپل هنوز رخنههای مشابه و وصله نشده در برنامههای اجرایی دیگر دارد. ما نمیتوانیم از آن برنامهها تا زمانی که وصله نشدهاند نامی ببریم.»
این محقق در وبلاگ خود میگوید که کد مخرب مؤثر واقع شده است زیرا که مهاجمین در حال استفاده از یک برنامه اجرایی امضا شده به وسیله یک مرجع معتبر هستند. همین نکته به تنهایی شاید کافی باشد تا روشهای شناسایی مبتنی بر رفتار مؤثر واقع نشوند و برنامه اجرایی مرتبط را قانونی فرض کنند. به گفته او « برنامهسازان امنیتی تلاش میکنند تا میزان هشدارهای امنیتی را در نرم افزارهای خود کاهش دهند و به همین دلیل از دادن هشدار برای کارهای مشکوک برنامههای قانونی پرهیز میکنند.»
همچنین به دلیل اینکه این برنامه مخرب پسوند exe ندارد ممکن است برنامههای امنیتی آن را امن تلقی کنند.
این محقق در ادامه میگوید «در این سناریو برنامه Bonjour سعی داشت تا از درون پوشه Progran Files اجرا شود اما به دلیل اشکال گیومه باج افزار BitPaymer را اجرا میکرد به این خاطر که اسم برنامه مخرب Program بود. این نکته باعث شد تا این رخنه بحرانی شود و از چشم برنامههای امنیتی مخفی بماند.»
منبع: www.scmagazineuk.com
۴ نظر در “ باج افزار BitPaymer با بهرهگیری از رخنه اپل از دید آنتی ویروس پنهان میماند.”