در ۲۰ مهر ۱۳۹۸
  • iCloud
  • Itunes
  • شرکت اپل

شرکت اپل یک رخنه در نرم افزارهای iCloud و Itunes برای ویندوز را وصله کرده است. این رخنه امنیتی به وسیله بدخواهان مورد استفاده قرار گرفته بود تا از دید برنامه‌های امنیتی مخفی بمانند.

به بیان دقیق تر، این رخنه در سرویس Bonjour وجود داشت. این سرویس مکانیزمی برای به روز رسانی برنامه‌ها و خدمات اپل است. Bonjour با برنامه‌های فوق الذکر نصب می‌شود در حالی که برنامه iTunes در حال از رده خارج شدن است.

محققان Morphisec این رخنه امنیتی و کد مخرب مرتبط  را کشف کردند. به گفته آنان این کد مرتبط با یک کمپین ادامه‌دار و مخرب است که شش ماه در حال هدف قرار دادن شرکت‌های دولتی و خصوصی آمریکایی با باج افزار BitPaymer است.

رخنه مورد سواستفاده قرار گرفته مرتبط با نداشتن علامت گیومه در یک مسیر فایل است. زمانی کد مخرب فعال می‌شود که مسیر یک فایل اجرایی که دارای کاراکتر فاصله است به شکل اشتباه درون علامت گیومه قرار نمی‌گیرد.

به گفته یکی از محققین Morphisec

 

«امروزه برنامه‌نویسان بیشتر و بیشتر از زبان‌های شی گرایی استفاده می‌کنند و اکثر اوقات متغیرهای رشته‌ای را گیومه‌گذاری نمی‌کنند و فکر می‌کنند تنها نوع رشته بودن آن کافی است – و این اشتباه است. مسیر فایل باید گیومه‌گذاری شود.»

 

رخنه‌های مشابه و مرتبط با مسیر فایل گیومه‌گذاری نشده بیشتر اوقات در موارد گرفتن مجوز سطح بالا استفاده می‌شوند اما در این مورد برای فرار از برنامه‌های امنیتی استفاده شده. حتی کاربرانی که برنامه iTunes را حذف کنند باز هم در معرض خطر هستند چون سرویس Bonjourجداگانه نصب می‌شود.

 

این محقق می‌گوید «نتایج یک تحقیق ما را شگفت زده کرد. این نتایج نشان می‌داد که سرویس بونجور روی تعداد کثیری از کامپیوترهای سازمان‌های زیادی نصب شده است. تعداد زیادی از این کامپیوترها سالیان گذشته برنامه iTunes را حذف کرده بودند اما نسخه قدیمی‌ای از سرویس ذکر شده در پس زمینه فعال بوده است.  پس از این اکتشاف ما هدف حمله را شناسایی کردیم  و متوجه انگیزه مهاجم برای انتخاب این برنامه شدیم.»

اپل با نسخه ۱۲.۱۰.۱ نرم‌افزار iTunes شروع به وصله این رخنه روی ویندوز کرد. این شرکت برای این رخنه یک اعلان امنیتی منتشر نکرد اما در توصیه نامه امنیتی مربوطه از این محقق قدردانی کرد. با این حال شرکت اپل هنوز کار دارد چون مؤسسه Morphisec  رخنه‌های مشابه بیشتری را در نرم‌افزار iTunes و نصاب آن پیدا کرده است .

 

به گفته این محقق «اپل هنوز رخنه‌های مشابه و وصله نشده در برنامه‌های اجرایی دیگر دارد. ما نمی‌توانیم از آن برنامه‌ها تا زمانی که وصله نشده‌اند نامی ببریم.»

این محقق در وبلاگ خود می‌گوید که کد مخرب مؤثر واقع شده است زیرا که مهاجمین در حال استفاده از یک برنامه اجرایی امضا شده به وسیله یک مرجع معتبر هستند. همین نکته به تنهایی شاید کافی باشد تا روش‌های شناسایی مبتنی بر رفتار مؤثر واقع نشوند و برنامه اجرایی مرتبط را قانونی فرض کنند. به گفته او « برنامه‌سازان امنیتی تلاش می‌کنند تا میزان هشدارهای امنیتی را در نرم افزارهای خود کاهش دهند و به همین دلیل از دادن هشدار برای کارهای مشکوک برنامه‌های قانونی پرهیز می‌کنند.»

همچنین به دلیل اینکه این برنامه مخرب پسوند exe ندارد ممکن است برنامه‌های امنیتی آن را امن تلقی کنند.

 

این محقق در ادامه می‌گوید «در این سناریو برنامه Bonjour سعی داشت تا از درون پوشه Progran Files اجرا شود اما به دلیل اشکال گیومه باج افزار BitPaymer را اجرا می‌کرد به این خاطر که اسم برنامه مخرب Program بود. این نکته باعث شد تا این رخنه بحرانی شود و از چشم برنامه‌های امنیتی مخفی بماند.»

منبع: www.scmagazineuk.com