WWDC2022-2023 आज सुबह Apple के इंजीनियरों के डेस्क पर एकमात्र गंभीर खबर नहीं है।
यदि ठीक से उपयोग किया जाता है, तो एक दुर्भावनापूर्ण ऐप आपके मैकबुक, या किसी भी प्रकार के वर्तमान मैक को यह सोचकर मूर्ख बना सकता है कि यह आप ही हैं और जो चाहें वह करें। डिजिटा सिक्योरिटी के मुख्य शोध अधिकारी सुरक्षा शोधकर्ता पैट्रिक वार्डले ने मोनाको में एक सम्मेलन में कल (2 जून) को एक मैकओएस सुरक्षा खामी का खुलासा किया, जिसे ऑब्जेक्टिव बाय द सी कहा गया।
दुर्भाग्य से, Apple ने अभी तक इस दोष को ठीक नहीं किया है, और वार्डले ने कंपनी को इसके बारे में पिछले सप्ताह ही बताया था। अपने आप को सुरक्षित रखने के लिए, आपको इंटरनेट से सीधे डाउनलोड किए जाने वाले एप्लिकेशन से बहुत सावधान रहने की आवश्यकता है। इसके बजाय आधिकारिक मैक ऐप स्टोर से चिपके रहना बेहतर होगा।
भूत क्लिक
वार्डले के अनुसार, मुद्दा यह है कि ऐप्पल मुट्ठी भर विरासत अनुप्रयोगों (ज्यादातर लोकप्रिय वीएलसी मीडिया प्लेयर जैसे मौजूदा ऐप्स के पुराने संस्करण) को "सिंथेटिक क्लिक्स" का उपयोग जारी रखता है, एक ऐसी सुविधा जिसने अनुप्रयोगों को ऐप्पल की नवीनतम सुरक्षा बाधाओं को बाईपास करने दिया था एक अधिकृत उपयोगकर्ता की नकल करके जिसकी अनुमति कुछ कार्यों की अनुमति देने के लिए आवश्यक है।
EclecticLight.co के अनुसार, सिंथेटिक क्लिक का उपयोग करने में सक्षम होने के लिए Apple ने जिन लीगेसी ऐप्स को श्वेतसूची में रखा है, उनमें स्टीम, VLC, सोनोस मैक कंट्रोलर और लॉजिटेक मैनेजर के पुराने संस्करण शामिल हैं।
पिछली गर्मियों में वार्डले और अन्य शोधकर्ताओं ने दिखाया कि मैक पर हमला करने के लिए सिंथेटिक क्लिक का उपयोग कैसे किया जा सकता है, ऐप्पल ने मैकोज़ मोजावे के साथ फीचर पर दरवाजा बंद कर दिया। लेकिन पुराने ऐप्स को काम करने देने के लिए - वार्डले ने चेतावनी दी थी कि सिंथेटिक क्लिक्स को पूरी तरह से खत्म करने से "कई वैध एप्लिकेशन टूट जाएंगे" - उन पुराने ऐप्स को छूट मिल गई।
वार्डले ने थ्रेटपोस्ट को बताया, "एक शोधकर्ता के रूप में लगातार ऐप्पल की सुरक्षा को बायपास करने के तरीके खोजने के लिए यह निराशाजनक है।" "मैं यह सोचना भोला होगा कि कोई अन्य हैकर या परिष्कृत विरोधी नहीं हैं जिन्होंने ऐप्पल के बचाव में समान छेद पाया है।"
कक्षों की जाँच नहीं
Apple के पास एक और सुरक्षा कवच है। यह केवल Apple श्वेतसूची के अनुप्रयोगों को सिंथेटिक क्लिक का उपयोग करने की अनुमति देता है, चाहे वे ऐप्स विरासती हों या नहीं। समस्या यह है कि सत्यापन प्रक्रिया गहरी त्रुटिपूर्ण है।
MacOS केवल उनके डिजिटल हस्ताक्षरों की जाँच करके ऐप्स का सत्यापन कर रहा है, न कि वास्तव में उन ऐप्स के अंदर कोड की जाँच करके या यह सुनिश्चित करके कि वे चलने के बाद अतिरिक्त कोड लोड नहीं करते हैं। कल, वार्डले ने वीएलसी में एक दुर्भावनापूर्ण प्लगइन को इंजेक्ट करके अपनी चिंताओं को सही साबित कर दिया, एक जो सिंथेटिक क्लिक कर सकता है - नकली उपयोगकर्ता क्रियाएं - जिसे ऐप्पल आमतौर पर ऐप्स में ब्लॉक करता है।
एक टीएसए सुरक्षा एजेंट की कल्पना करें जो केवल आपकी आईडी की जांच करता है और आपके सामान को स्कैनिंग ट्रे के माध्यम से स्लाइड नहीं करता है। यहीं मुद्दा है।
"जिस तरह से उन्होंने इस नए सुरक्षा तंत्र को लागू किया, यह 100 प्रतिशत टूटा हुआ है," वार्डले ने वायर्ड को बताया। "मैं इन सभी नए Mojave गोपनीयता उपायों को बायपास कर सकता हूं।"
उपयोगकर्ता को बेवकूफ बनाना
उपयोगकर्ताओं को ऐसे एप्लिकेशन इंस्टॉल करने के लिए मूर्ख बनाना मुश्किल नहीं है जो उपयोगकर्ता के खिलाफ दूषित और हथियारबंद हो गए हैं। इसका एक प्रमुख उदाहरण वास्तविक जीवन में मार्च 2016 में लोकप्रिय बिटटोरेंट क्लाइंट ट्रांसमिशन के साथ हुआ।
एक हमलावर को शायद किसी को बेवकूफ बनाने की जरूरत भी न पड़े। 2016 में, वार्डले ने दिखाया कि कैसे उपयोगकर्ता द्वारा पहले से स्थापित वैध सॉफ़्टवेयर के लिए एक दूषित अद्यतन - इस उदाहरण में, मैक के लिए कैस्पर्सकी इंटरनेट सुरक्षा - मैक को संक्रमित करने के लिए ऐप्पल के सभी सुरक्षा तंत्रों को बायपास कर सकता है।
मैला सुरक्षा अभ्यास
द रजिस्टर सहित कई आउटलेट्स द्वारा वार्डले की नवीनतम बातचीत की सूचना दी गई है।
ये कैसे हुआ? वार्डले ने द रजिस्टर को बताया कि "अगर किसी सुरक्षा शोधकर्ता या ऐप्पल में सुरक्षा मानसिकता वाले किसी व्यक्ति ने इस कोड का ऑडिट किया होता, तो उन्होंने इस पर ध्यान दिया होता। एक बार जब आप इस बग को देखते हैं, तो यह तुच्छ है,"
"वे कोड का ऑडिट नहीं कर रहे हैं," उन्होंने कहा। "ये इन नई सुरक्षा सुविधाओं को लागू कर रहे हैं, लेकिन वास्तविकता यह है कि उन्हें अक्सर गलत तरीके से लागू किया जाता है।"
- WWDC Apple के लिए एक नए युग की शुरुआत क्यों करेगा