Her zaman sen Mac’inizi kapatın, bir açılır pencere belirir: “Bilgisayarınızı şimdi kapatmak istediğinizden emin misiniz?” İstemin altına yerleştirilmiş, çoğumuzun gözden kaçırdığı başka bir seçenek var: makineniz tekrar açıldığında şimdi açtığınız uygulamaları ve pencereleri yeniden açma seçeneği. Araştırmacılar şimdi bu “kaydedilmiş durum” özelliğindeki bir güvenlik açığından yararlanmanın bir yolunu buldular ve bu, Apple’ın güvenlik korumalarının temel katmanlarını kırmak için kullanılabilir.
Hollanda merkezli siber güvenlik firması Computest’te güvenlik araştırmacısı Thijs Alkemade, macOS güvenliğini kırmak için bir süreç enjeksiyon saldırısına duyarlı olan güvenlik açığının, bir saldırganın Mac’teki her dosyayı okumasına veya web kamerasının kontrolünü ele geçirmesine izin verebileceğini söylüyor. kusur. “Temelde üç farklı yere uygulanabilecek bir güvenlik açığı” diyor.
Kaydedilmiş durum özelliğine karşı ilk saldırıyı gerçekleştirdikten sonra Alkemade, Apple ekosisteminin diğer bölümlerinden geçebildi: önce başarılı hack’leri tek bir uygulamayla sınırlamak için tasarlanmış macOS korumalı alanından kaçmak ve ardından Sistem Bütünlüğü Korumasını (SIP) atlamak. ), yetkili kodun bir Mac’teki hassas dosyalara erişmesini durdurmak için tasarlanmış bir anahtar savunma.
Çalışmayı bu hafta Las Vegas’taki Black Hat konferansında sunan Alkemade, güvenlik açığını ilk olarak Aralık 2020’de buldu ve sorunu hata ödül programı aracılığıyla Apple’a bildirdi. Araştırma için kendisine “oldukça güzel” bir ödül ödendiğini söylüyor, ancak ne kadar ayrıntı vermeyi reddetmesine rağmen. O zamandan beri Apple, kusuru düzeltmek için ilki Nisan 2021’de ve tekrar Ekim 2021’de olmak üzere iki güncelleme yayınladı.
Kusur hakkında soru sorulduğunda Apple, Alkemade’nin sunumundan önce herhangi bir yorumu olmadığını söyledi. Şirketin güvenlik açığıyla ilgili iki genel güncellemesi ayrıntılara ışık tutuyor, ancak sorunların kötü amaçlı uygulamaların hassas kullanıcı bilgilerini sızdırmasına ve bir saldırganın bir sistemde hareket etmesi için ayrıcalıkları yükseltmesine izin verebileceğini söylüyorlar.
Apple’ın değişiklikleri, şirketin uygulama yaratıcıları için geliştirme çalışma alanı olan Xcode’da da görülebilir, Alkemade’den gelen saldırıyı anlatan bir blog yazısı. Araştırmacı, Apple’ın Ekim 2021’de piyasaya sürülen Monterey işletim sistemini çalıştıran Mac’ler için sorunu çözerken, macOS’un önceki sürümlerinin hala saldırıya açık olduğunu söylüyor.
Saldırıyı başarılı bir şekilde başlatmanın birden fazla adımı vardır, ancak bunlar temelde ilk işlem ekleme güvenlik açığına geri dönerler. İşlem enjeksiyon saldırıları, bilgisayar korsanlarının bir cihaza kod enjekte etmesine ve başlangıçta amaçlanandan farklı bir şekilde kod çalıştırmasına olanak tanır.
Saldırılar nadir değildir. Alkemade, “Belirli bir uygulamada işlem enjeksiyon güvenlik açığı bulmak oldukça olasıdır” diyor. “Ama evrensel olarak uygulanabilir bir şeye sahip olmak çok nadir bir bulgu” diyor.
Alkemade’nin bulduğu güvenlik açığı, kaydedilmiş durum sisteminde bir Mac’i kapattığınızda açtığınız uygulamaları ve pencereleri kaydeden “seri hale getirilmiş” bir nesnededir. Bu kaydedilmiş durum sistemi, App Nap adı verilen bir süreçte Mac kullanımdayken de çalışabilir.