חוקרים הציגו ניצול שהתגלה לאחרונה ב-macOS המאפשר התקנת תוכנות זדוניות מרחוק על מחשב יעד באמצעות שימוש במטפלי כתובות אתרים מותאמים אישית בספארי.
ה-WINDSHIFT APT עוסק בעיקר בחלונות קופצים "האם אתה רוצה לאפשר" המוכר לכל משתמש macOS, מסביר חוקר האבטחה פטריק ורדל. מטפלי מסמכים אלה נראים לעתים קרובות בשימוש בעת לחיצה על קישור App Store או PDF, המבקשים ממשתמשים רשות לפני פתיחת הקישור או הקובץ באפליקציה רשומה כמו Mac App Store או Preview.
מטפלים ב-URL מותאמים אישית, ובדומה למטפלים במסמכים, הם בעצם דרך ליישום להודיע למערכת ההפעלה שהם מסוגלים לטפל בסוגי מסמכים מסוימים. לדוגמה, VLC מפרסם את היכולת לקבל פורמטי וידאו רבים ושונים, בעוד Preview עושה את אותו הדבר עבור מגוון רחב של סוגי קבצים שונים.
הניצול מתקיים באמצעות המטפלים הללו.
Wardle נותן הסבר מעמיק מצויןמפתחים רבים יעריכו, אבל השיטה הבסיסית לניצול זה היא כדלקמן.
ניצול תהליך
ראשית, התוכנה הזדונית מועלית לאתר זדוני. בעת ביקור, קובץ ה-zip הזדוני מוריד על ידי macOS, אשר פותח אותו באופן אוטומטי. אפל מאפשרת לפתוח קבצים לפיה הם "בטוחים", הכוללים את תוכנת הזדונית הזו אם משתמש מוריד אותה דרך ספארי.
לאחר פריצת הקובץ, יישום התוכנה הזדונית מסוגל לרשום את המטפל בסכימת URL המותאמת אישית שלו במערכת הקבצים. הקוד בדף האינטרנט הזדוני יכול לאחר מכן לטעון או "לגלוש" לכתובת ה-URL המותאמת אישית, אומר Wardle, מה שגורם ל-macOS לחפש את המטפל ב-URL שהותקן זה עתה ולהפעיל את האפליקציה הזדונית.
בעוד ספארי כן מבקש מהמשתמש לעשות זאתלְבַטֵלאוֹלְהַתִיראת הפעולה כדי להפעיל, מפתחים מסוגלים לשנות את טקסט האפליקציה למשהו שנועד להיות מטעה. במקום לומר "האם אתה רוצה לאפשר לספארי לפתוח יישום תוכנות זדוניות מפחידות?" זה יכול לומר "האם אתה רוצה לאפשר לספארי לפתוח תצוגה מקדימה?"
ואז מערכת ההפעלה מנסה להפעיל את התוכנה הזדונית שנמצאת בתיקיית ההורדות שלך.
מְנִיעָה
מספר אמצעי מניעה מובנים ב-macOS, אם כי הם לא בהכרח יעילים במקרה זה. המחסום הראשון מחייב את המשתמש ללחוץלְהַתִירבחלון הקופץ בספארי, אבל הטקסט המותאם אישית מקל על יצירת מסר ארצי ואמין לכאורה.
אותו דבר לגבי File Quarantine. מנגנון הבטיחות יבקש מהמשתמש אישור לפני התקנת התוכנה, אך גם כאן ניתן לשנות את השם.
סביר להניח שגם GateKeeper עוקף כפי שהוסבר על ידי Wardle.
"בתצורת ברירת המחדל שלו, Gatekeeper מאפשר יישומים חתומים", הוא כותב. "התוכנה הזדונית המשמשת את קבוצת WINDSHIFT APT נחתמה (כמו רוב התוכנות הזדוניות של Mac בימינו). אז Gatekeeper אפילו לא נכנס לפעולה!"
אפל יכולה לבטל את החתימה של אפליקציה ברגע שמתגלה שהיא משמשת עבור תוכנות זדוניות, אבל זה לא עוזר למי שכבר הונה את האפליקציה.
למשתמשים המודאגים ביותר מהניצול הזה יש פתרון קל אם הם רוצים לשחק בו בטוח: פשוט כבה את הפתיחה האוטומטית של קבצים בטוחים.
בהעדפות, נווט אלספארי > כללי, ואז בטל את הסימוןפתחו קבצים "בטוחים" לאחר ההורדה.
מבחינה טכנית, macOS עושה הכל כמו שצריך, אבל זו סדרה של פעולות תמימות שיכולות לאפשר התקנת תוכנה זדונית ללא ידיעת המשתמש. אפל יכולה לבחור לערוך כמה שינויים בתהליך בעדכונים עתידיים, כמו מניעת פריצת קבצים אוטומטית כברירת מחדל.
