مک گذرواژه‌ها شما را برای هکرها پیامک می‌زند!

آنتونی وین‌سنت جبارا و راجا راهبانی در حالی‌که مشغول کار روی نرم‌افزار مدیریت احراز هویت خود موسوم به Myki بودند و از keychain برای این منظور استفاده می‌کردند، موفق به شناسایی این رخنه در Keychain شدند. آن‌ها کشف کردند که هکرها با مهارت خاصی می‌توانند چندین دستور مک را اجرا کرده و کاربر را متقاعد سازند که به جای وارد کردن مستقیم گذرواژه خود روی دکمه Allow button کلیک کند. تمامی این اتفاقات تنها در چند میلی ثانیه ( کمتر از 200 میلی ثانیه) و درست در مقابل چشمان کاربر رخ می‌دهد.

مطلب پیشنهادی: آی‌فون‌های قفل شکسته در خطر هک شدن قرار گرفته‌اند

زمانی‌که کاربر این دکمه را فشار می‌دهد، کدهای مخرب اجرا شده و تمامی محتوای keychain را برای هکر ارسال می‌کند. این ارسال می‌تواند از طریق پیام کوتاه برای تلفن‌همراه هکر ارسال شود یا پیام کوتاه می‌تواند با سیستم‌های ارسالی دیگری همچون سرورهای C&C جایگزین شود. در این حالت هکر این توانایی را دارد تا اطلاعات دریافت شده را در مکانی ذخیره کرده و بعدا اقدام به دانلود آن‌ها کند. آن‌ها همچنین در خصوص مکان قرارگیری این دکمه اطلاعات جالبی به دست آورده‌اند، به‌طوری که آن‌ها کشف کرده‌اند در رخنه موجود مکان قرار گیری دکمه Allow در حدود 10 درصد از مرکز صفحه نمایش به سمت راست و در حدود 7 درصد به سمت پایین صفحه متمایل می‌شود. البته برای آن‌که بدافزار بتواند این فرآیند را به دور از چشم کاربر انجام دهد نیازمند به کارگیری ترفندی است.

 بر همین اساس این بدافزار از طریق فایل‌های بی‌ضرر و عادی همچون تصاویر، اسناد یا صفحات گسترده فعالیت خود را انجام می‌دهد. رهبانی و جبارا برای اثباث نظریه خود یک الگوی مفهومی را طراحی کرده و آن‌را مورد آزمایش قرار دادند. چیزی که آن‌ها کشف کردند بدافزاری بود که در پوشش یک تصویر پیش‌نمایشی بعد از آن‌که کاربر Allow را کلیک می‌کرد، اجرا می‌شد. هدف آن‌ها از ارائه این الگوی مفهومی نشان دادن شیوه کارکرد این بدافزار به مردم بود. زمانی‌که تصویر برای اولین بار نشان داده می‌شود، کاربر هیچ‌گونه اطلاعی ندارد که حمله‌ای رخ خواهد داد. در حالی که مقدمات حمله آماده شده است. به‌دلیل این‌که کدها درون یک فایل بی‌خطر قرار گرفته‌اند و خود کد از دستورات معتبر استفاده می‌کند کاربر واکنش منطقی به آن نشان می‌دهد. همچنین محصولات امنیتی از این حمله صرف‌نظر می‌کنند، به‌دلیل این‌که نشانه‌ای از یک اتفاق خاص وجود ندارد. جبارا راه حل رفع این مشکل را در اصلاح شیوه واکنش و فرامین keychain یا متوقف کردن استفاده از keychain پیشنهاد کرده است. هر چند بعید به نظر می‌رسد اپل سیستم مدیریت گذرواژه خود را کنار بگذارد.  

جبارا اعلام کرده است، که اپل را در خصوص این آسیب‌پذیری مطلع ساخته و منتظر دریافت پاسخ از سوی اپل است. جبارا گفته است که به دلیل ماهیت خطرناک این آسیب‌پذیری، تصمیم به اطلاع‌رسانی عمومی گرفته است. آسیب‌پذیری فوق باعث می‌شود تا اطلاعات کاربران به راحتی در معرض سوء استفاده قرار گیرد. با دانستن الگوی این رخنه، کاربر می‌تواند اقدامات محافظتی لازم را به عمل آورده، و روی دکمه‌های تبلیغاتی ناشناسی که در keychain ظاهر می‌شوند، کلیک نکند. جبارا همچنین در خصوص این اطلاع‌رسانی زود هنگام گفته است: «ما احساس می‌کنیم، اطلاع‌رسانی عمومی در خصوص این آسیب‌پذیری کار درستی است، به دلیل این‌که این آسیب‌پذیری پیامدهای جبران‌ناپذیری به همراه دارد.» اگر کاربران در خصوص این آسیب‌پذیری اطلاعاتی نداشته باشند، به راحتی روی فایل‌های ثالثی که در کامپیوترشان قرار داشته و باعث افشای اطلاعات حساس آن‌ها می‌شود کلیک می‌کند. اما با اطلاع‌رسانی به‌موقع کاربران می‌دانند که کلیک کردن روی دکمه‌های ناشناس چه پیامدهایی را برای آن‌ها به‌همراه خواهد داشت. کاربران تا زمانی‌که اپل وصله‌های لازم را ارائه کند باید در این زمینه آگاه باشند.

این آسیب‌پذیری در رده آسیب‌پذیری‌های بحرانی شناخته می‌شود که به هر شخصی اجازه می‌دهد، گذرواژه‌های شما را از راه دور و در قالب یک فایل دانلودی که به نظر نمی‌رسد مخرب باشد سرقت کند. این آسیب‌پذیری به گونه‌ای است که نرم‌افزارهای شناسایی‌کننده بدافزارها توانایی شناسایی آن‌را ندارد، به دلیل این‌که هیچ‌گونه رفتار مشکوکی که نشان از وجود یک بدافزار داشته باشد از خود نشان نمی‌دهد.