واحد من الخاص بك قد لا تعمل أدوات الكشف عن البرامج الضارة المضمنة في نظام التشغيل Mac بالشكل الذي تعتقده. في مؤتمر Defcon للمخترقين في لاس فيجاس ، قدم الباحث الأمني في Mac القديم باتريك واردل اليوم نتائج حول نقاط الضعف في آلية إدارة مهام macOS الخلفية من Apple ، والتي يمكن استغلالها لتجاوز ، وبالتالي ، هزيمة أداة المراقبة المضافة للشركة مؤخرًا.
لا توجد طريقة مضمونة للقبض على البرامج الضارة على أجهزة الكمبيوتر بدقة تامة لأن البرامج الضارة في جوهرها مجرد برامج ، مثل متصفح الويب أو تطبيق الدردشة. قد يكون من الصعب تمييز البرامج الشرعية عن المخالفين. لذا ، فإن صانعي أنظمة التشغيل مثل Microsoft و Apple ، وكذلك شركات الأمان التابعة لجهات خارجية ، يعملون دائمًا على تطوير آليات وأدوات كشف جديدة يمكنها اكتشاف سلوك البرامج الضارة بطرق جديدة.
تركز أداة إدارة المهام الخلفية من Apple على مراقبة “ثبات” البرامج. يمكن تصميم البرامج الضارة بحيث تكون سريعة الزوال وتعمل لفترة وجيزة فقط على الجهاز أو حتى إعادة تشغيل الكمبيوتر. ولكن يمكن أيضًا تصميمه ليثبت نفسه بشكل أعمق و “يستمر” في الهدف حتى عندما يتم إيقاف تشغيل الكمبيوتر وإعادة تشغيله. تحتاج الكثير من البرامج الشرعية إلى المثابرة ، لذا ستظهر جميع تطبيقاتك وبياناتك وتفضيلاتك عندما تركتها في كل مرة تقوم فيها بتشغيل جهازك. ولكن إذا أثبتت البرامج استمرارها بشكل غير متوقع أو فجأة ، فقد تكون علامة على وجود شيء ضار.
مع وضع ذلك في الاعتبار ، أضافت Apple مدير المهام الخلفية في macOS Ventura ، الذي تم إطلاقه في أكتوبر 2022 ، لإرسال الإشعارات مباشرة إلى المستخدمين وإلى أي أدوات أمان تابعة لجهة خارجية تعمل على نظام في حالة حدوث “حدث استمرار”. بهذه الطريقة ، إذا كنت تعلم أنك قمت للتو بتنزيل تطبيق جديد وتثبيته ، فيمكنك تجاهل الرسالة. ولكن إذا لم تفعل ذلك ، فيمكنك التحقيق في احتمال تعرضك للاختراق.
“يجب أن تكون هناك أداة [that notifies you] عندما يقوم شيء ما بتثبيت نفسه باستمرار ، فمن الجيد أن تضيفه شركة Apple ، ولكن التنفيذ كان سيئًا للغاية بحيث يمكن لأي برنامج ضار متطور إلى حد ما تجاوز المراقبة بشكل تافه ، “يقول واردل عن النتائج التي توصل إليها Defcon.
ولم يتسن الوصول لشركة أبل للتعليق.
كجزء من مؤسسة Objective-See ، التي تقدم أدوات أمان macOS مجانية ومفتوحة المصدر ، قدم Wardle أداة مشابهة لإشعار حدث الاستمرارية تُعرف باسم بلوكبلوك لسنوات. يقول: “نظرًا لأنني قمت بكتابة أدوات مماثلة ، فأنا أعلم التحديات التي واجهتها أدواتي ، وتساءلت عما إذا كانت أدوات وأطر عمل Apple لديها نفس المشكلات للعمل من خلالها – وهي كذلك.” “لا يزال من الممكن أن تستمر البرامج الضارة في بطريقة غير مرئية تمامًا “.
عندما ظهر مدير المهام في الخلفية لأول مرة ، اكتشف Wardle بعض المشكلات الأساسية مع الأداة التي تسببت في فشل إعلامات حدث الاستمرارية. هو ذكرت لهم Apple ، وقد أصلحت الشركة الخطأ. لكن الشركة لم تحدد مشكلات أعمق مع الأداة.
يقول واردل: “لقد ذهبنا ذهابًا وإيابًا ، وفي النهاية ، قاموا بإصلاح هذه المشكلة ، لكن كان الأمر أشبه بوضع شريط لاصق على طائرة أثناء تحطمها”. “لم يدركوا أن الميزة تحتاج إلى الكثير من العمل.”
تتطلب إحدى التجاوزات التي قدمها Wardle يوم السبت الوصول إلى الجذر لجهاز الهدف ، مما يعني أن المهاجمين يحتاجون إلى التحكم الكامل قبل أن يتمكنوا من منع المستخدمين من تلقي تنبيهات استمرار. يعد الخطأ المرتبط بهذا الهجوم المحتمل أمرًا مهمًا للتصحيح لأن المتسللين يمكنهم أحيانًا الحصول على هذا المستوى من الوصول إلى الهدف وقد يكون لديهم الدافع لإيقاف الإشعارات حتى يتمكنوا من تثبيت أكبر قدر ممكن من البرامج الضارة على النظام.
الأمر الأكثر إثارة للقلق هو أن Wardle عثر أيضًا على مسارين لا يتطلبان الوصول إلى الجذر لتعطيل إشعارات الاستمرارية من المفترض أن يرسل مدير المهام الخلفية إلى المستخدم وإلى منتجات مراقبة الأمان. تستفيد إحدى هذه الثغرات من خطأ في كيفية اتصال نظام التنبيه بجوهر نظام تشغيل الكمبيوتر المعروف باسم النواة. يستفيد الآخر من القدرة التي تسمح للمستخدمين ، حتى أولئك الذين ليس لديهم امتيازات نظام عميقة ، بوضع العمليات في وضع السكون. وجد واردل أنه يمكن التلاعب بهذه الإمكانية لتعطيل إشعارات الثبات قبل أن تتمكن من الوصول إلى المستخدم.
يقول واردل إنه اختار إطلاق هذه الأخطاء في Defcon دون إخطار Apple أولاً لأنه أخطر الشركة بالفعل بالعيوب في إدارة المهام الخلفية التي كان من الممكن أن تؤدي بها إلى تحسين الجودة الشاملة للأداة بشكل أكثر شمولاً. ويضيف أيضًا أن تجاوز هذه المراقبة يعيد ببساطة حالة أمان macOS إلى ما كانت عليه قبل عام ، قبل ظهور هذه الميزة لأول مرة. لكنه يشير إلى أن إصدار Apple لأدوات المراقبة التي تبدو مستعجلة أو بحاجة إلى مزيد من الاختبار يمثل مشكلة ، لأنها يمكن أن تمنح المستخدمين وبائعي الأمان إحساسًا زائفًا بالأمان.