وجد الباحثون الأمنيون في مجال الأمن السيبراني برنامج خبيث جديد يستهدف نظام تشغيل macOS ويعمل على التقاط صور للشاشة بدون علم الضحية، حيث نجح البرنامج في إيجاد طريقة لتجاوز حماية الخصوصية الخاصة بأبل.
ويعتمد نظام macOS على إطار عمل الشفافية والموافقة والتحكّم (TCC) الذي ينظّم استخدام موارد الكمبيوتر، مثل كاميرا الويب والميكروفون، بواسطة التطبيقات المثبتة على النظام.
واكتشف الباحثون الأمنيون من شركة Jamf لإدارة الأجهزة المحمولة أن البرنامج الضار الذي ظهر باسم XCSSET كان يستغل ثغرة من نوع Zero-Day لتجاوز إطار عمل TCC من أبل. وتجدر الإشارة إلى أن الشركة قامت بتصحيح الثغرة في تحديث صدر مؤخرًا، لذا ننصحك بالترقية إلى أحدث إصدار من macOS على جهازك سريعًا.
برنامج خبيث في macOS
تم اكتشاف برنامج XCSSET الضار لأول مرة في أغسطس 2020 داخل بيئة التطوير المتكاملة Xcode IDE التي يستخدمها المطورين على نظام macOS لإنشاء تطبيقات خاصة بأجهزة ايفون وايباد والماك وأبل واتش وأبل تي في.
وبسبب وجود هذا البرنامج الضار في بيئة تطوير أبل، ساهم المطورون في نشره على مستخدمي تطبيقاتهم دون قصد، وشبّه الباحثون الأمنيون هذا الهجوم بـ “سلسلة التوريد”.
قد يهمك أيضًا قراءة:
وعلى الرغم من كشف البرنامج الضار، كان مطوريه يقومون بتحديثه باستمرار حتى أنّه يستهدف أجهزة أبل التي تعمل بمعالج M1 الجديد.
وأوضح الباحثون في تحليلهم:
“عندما تم اكتشافه في البداية، كان يُعتقد أن XCSSET يستخدم اثنين من ثغرات zero-day … ومع الغوص بتعمق أكبر في البرنامج الخبيث، اكتشف الباحثون أنه كان يستغل أيضًا ثغرة zero-day ثالثة لتجاوز إطار عمل TCC من أبل”.
وأثناء تحليل البرنامج الخبيث، وجد باحثو Jamf أنه يبحث عن التطبيقات الأخرى التي يتم منحها أذونات مشاركة الشاشة بشكل متكرر على جهاز الضحية.
وبمجرد العثور على واحد من هذه التطبيقات يقوم البرنامج الخبيث بوضع ملف خاص به كي يتمكن من الحصول على نفس أذونات التطبيق الشرعي، وبالتالي يمكنه تسجيل الشاشة وتعتقد حماية النظام أنّه تطبيق شرعي.
المهم في هذا كله أن أبل قامت بتصحيح الثغرة في تحديث ودعت جميع المستخدمين لإصدار macOS 11.4 لضرورة الحصول عليه وتثبيته لإغلاق الثغرة.
