Apple Mac & # 039; lerde Büyük Güvenlik Kusuru Var ve Düzeltme Yok

WWDC 2019, masalarındaki tek ciddi haber değil. AppleBu sabah mühendisler.

Kredi: odaklı Bilgisayar Mag

Düzgün bir şekilde faydalanabilirsa, kötü amaçlı bir uygulama MacBook’unuzu veya mevcut herhangi bir Mac türünü istediğiniz gibi düşünerek kandırabilir ve ne isterse onu yapabilirsiniz. Güvenlik araştırmacısı Digita Security’nin araştırma görevlisi Patrick Wardle, dün (2 Haziran) Monako’da Denizin Hedefi adlı bir konferansta bir macOS güvenlik kaçağı duyurdu.

Ne yazık ki Apple henüz bu hatayı düzeltmedi ve Wardle şirkete sadece geçen hafta anlattı. Kendinizi korumak için, doğrudan internetten indirdiğiniz uygulamalara çok dikkat etmeniz gerekir. Mac App Store’a bağlı kalmak daha iyi olur.

Hayalet tıklamalar

Wardle’a göre mesele şu ki: Apple eski uygulamaların bir bölümünün (popüler VLC medya oynatıcı gibi uygulamaların bulunduğu bir önceki sürümleri) uygulamaların izin izin veren bir özellik olan “sentetik seçimleri” kullanmaya devam etmesini istiyor.

EclecticLight.com’a göre, eski uygulamaların listesi Apple Sentetik tıklamaları kullanabilmek için beyaz listeye geçmiş eski Steam, VLC, Sonos Mac sitesinde ve Logitech Manager sürümlerini içerir.

Wardle ve diğer araştırmacılar yaklaşıyor yaz, sentetik taramaların Mac’lere saldırmak için nasıl kullanılabileceğini gösterdikten sonra, Apple macOS Mojave ile özelliğin kapağını kapattı. Ancak, eski uygulamaların devam etmesine izin vermek için – – Wardle, sentetik talimatların öldürülmesinin yapılması “” bazı meşru olması durumunda edebileceğim “konusunda uyarıldı – bu eskilerde feragat etti.

“Bu sürekli olarak bypass yapmanın yollarını bulmak için araştırmacı olarak sinir bozucu Apple’nin korumaları,’ ‘Wardle Tehdit’i’ a dedi. ” Bende de benzer boşluklar bulan başka hackerlar ya da sofistike rakipler burada düşünüyorum. Applesavunması. “

Odaları kontrol etmemek

Apple başka bir şeyi var. Yalnızca bir sözcük izin verir Apple Bu uygulamaların geçerli olup olmadığına bakılmak üzere, sentetik tıklamaları kullanmak için beyaz liste. Sorun, kusurludur.

MacOS, uzaktan dijital kontrollerini kontrol ederek yönetiliyor doğrular ve bu uygulamaların içeriğini kontrol edin veya kontrol etmeye başladıktan sonra fazladan kod yüklemediklerinden emin olarak değil. Dün, Wardle, endişelerini, sentetik tıklamaları yapılabilen – sahte kullanıcı eylemleri gibi – VLC’ye kötü amaçlı bir eklenti enjekte edilebilir olması muhtemeldir. Apple varsayılan uygulamalarda engeller.

Sadece kimliğini kontrol eden ve valizlerinizi tarama tepsisinden geçirmeden bir TSA güvenlik aracısı düşünün. Burada mesele bu.

Bilge, “Bu 100 yeni güvenlik sisteminde uygulama şeklileri yüzde bozuldu” dedi. “Bu yeni Mojave gizlilikte araçlarının hepsini yapabilirim.”

Kullanıcıyı kandırmak

Kullanıcıları, bozulmuş ve şifrelenmiş silahlandırılmış işlemler kurmaya zorlamak zor değildir. Bunun için önemli bir örnek, popüler BitTorrent istemcisi İletim ile 2016 yılında Mart’ta gerçek hayatta gerçekleşşti.

Bir saldırganın kimseyi kandırması gerekmeyebilir. 2016 yılında, Wardle, tarihi zaten yayımlanan meşru yazılımlar için yapılan bir son güncellemenin – bu örnekte, Kaspersky Internet için Mac’in – tüm atlamaları nasıl atlayabileceğine dair AppleMac’e bulaşacak güvenlik sistemleri kuruluyor.

Özensiz güvenlik yönetimi

Wardle’ın oğlu konuşması, Kayıt dahil olmak üzere bir dizi çıkış tarihinde bildirildi.

Bu nasıl oldu? Ward, Kayıt yaptığını söyledi: “Herhangi bir güvenlik araştırmacısı ya da Apple bir güvenlik zihniyeti ile bu kodu denetlemiş olsalardı, fark edeceklerdi. Bu hatayı bir kez gördüğünüzde, önemsizdir “

“Kodu denetlemiyorlar” diye ekledi. “Yhey, bu yeni güvenlik uygulama uyguluyor, ancak gerçek şu ki, yanlış bir şekilde uygulandılar.”