بواسطة: رافي لاكشمانان | أخبار الهاكر

كشفت شركة مايكروسوفت عن تفاصيل حول ثغرة أمنية تم إصلاحها الآن في إطار عمل الشفافية والموافقة والتحكم (TCC) الخاص بشركة Apple في نظام macOS والذي من المحتمل أن يكون قد تعرض للاستغلال للالتفاف على تفضيلات خصوصية المستخدم والوصول إلى البيانات.

تم تتبع الثغرة، التي أطلق عليها عملاق التكنولوجيا الاسم الرمزي HM Surf، باسم CVE-2024-44133. وقد عالجتها شركة Apple كجزء من نظام التشغيل macOS Sequoia 15 عن طريق إزالة الكود المعرض للخطر.

وقال جوناثان بار أور من فريق الاستخبارات في مايكروسوفت إن HM Surf "يتضمن إزالة حماية TCC لدليل متصفح Safari وتعديل ملف تكوين في الدليل المذكور للوصول إلى بيانات المستخدم، بما في ذلك الصفحات التي تم تصفحها، وكاميرا الجهاز، والميكروفون، والموقع، دون موافقة المستخدم" .

وقالت مايكروسوفت إن الحماية الجديدة تقتصر على متصفح Safari التابع لشركة Apple، وأنها تعمل مع بائعي متصفحات رئيسيين آخرين لاستكشاف المزيد من فوائد تعزيز ملفات التكوين المحلية.

يأتي HM Surf في أعقاب اكتشاف Microsoft لعيوب في نظام التشغيل Mac OS X مثل Shrootless و powerdir و Achilles و Migraine والتي قد تمكن الجهات الخبيثة من تجاوز عمليات إنفاذ الأمن.

في حين أن TCC هو إطار عمل أمني يمنع التطبيقات من الوصول إلى المعلومات الشخصية للمستخدمين دون موافقتهم، فإن الخلل المكتشف حديثًا قد يمكّن المهاجمين من تجاوز هذا المطلب والوصول إلى خدمات الموقع ودفتر العناوين والكاميرا والميكروفون ودليل التنزيلات وغيرها بطريقة غير مصرح بها.

يتم التحكم في الوصول من خلال مجموعة من الحقوق، حيث تتمتع تطبيقات Apple الخاصة مثل Safari بالقدرة على تجاوز TCC تمامًا باستخدام الحق "com.apple.private.tcc.allow".

على الرغم من أن هذا يسمح لـ Safari بالوصول بحرية إلى الأذونات الحساسة، إلا أنه يشتمل أيضًا على آلية أمان جديدة تسمى Hardened Runtime والتي تجعل من الصعب تنفيذ تعليمات برمجية عشوائية في سياق متصفح الويب.

مع ذلك، عندما يزور المستخدمون موقعًا إلكترونيًا يطلب الوصول إلى الموقع أو الكاميرا لأول مرة، يطلب Safari الوصول عبر نافذة منبثقة تشبه TCC. يتم تخزين هذه الحقوق على أساس كل موقع إلكتروني داخل ملفات مختلفة موجودة في الدليل "~/Library/Safari".

تعتمد ثغرة HM Surf التي ابتكرتها شركة Microsoft على تنفيذ الخطوات التالية:

• تغيير الدليل الرئيسي للمستخدم الحالي باستخدام أداة dscl ، وهي خطوة لا تتطلب الوصول إلى TCC في macOS Sonoma
• ‏تعديل الملفات الحساسة (على سبيل المثال، PerSitePreferences.db) داخل "~/Library/Safari" ضمن دليل المستخدم الرئيسي الحقيقي
• ‏تغيير الدليل الرئيسي مرة أخرى إلى الدليل الأصلي مما
يتسبب في استخدام Safari للملفات المعدلة
• تشغيل Safari لفتح صفحة ويب تلتقط صورة من خلال كاميرا الجهاز وتلتقط الموقع

وقالت مايكروسوفت إن الهجوم قد يمتد إلى ما هو أبعد من ذلك لحفظ بث كامل للكاميرا أو التقاط الصوت خلسة عبر ميكروفون جهاز ماك. ولا تعاني متصفحات الويب التابعة لجهات خارجية من هذه المشكلة لأنها لا تتمتع بنفس الحقوق الخاصة التي تتمتع بها تطبيقات أبل.

وأشارت مايكروسوفت إلى أنها لاحظت نشاطًا مشبوهًا مرتبطًا بتهديد معروف لبرنامج إعلاني على نظام macOS يسمى AdLoad والذي من المرجح أن يستغل الثغرة الأمنية، مما يجعل من الضروري أن يتخذ المستخدمون خطوات لتطبيق أحدث التحديثات.

"نظرًا لأننا لم نتمكن من ملاحظة الخطوات التي تم اتخاذها والتي أدت إلى النشاط، فلا يمكننا تحديد ما إذا كانت حملة AdLoad تستغل ثغرة HM surf نفسها"، كما قال بار أور. "إن استخدام المهاجمين لطريقة مماثلة لنشر تهديد شائع يزيد من أهمية وجود الحماية ضد الهجمات التي تستخدم هذه التقنية".