خطأ تجاوز في النظام الفرعي FileProvider Transparency, Consent and Control (TCC) داخل نظام Apple دائرة الرقابة الداخلية يمكن لنظام التشغيل أن يترك بيانات المستخدمين مكشوفة بشكل خطير، وفقًا للباحثين في Jamf Threat Labs.
تم تعيين المشكلة باسم CVE-2024-44131، وتم تصحيح المشكلة بنجاح بواسطة Apple في سبتمبر 2024 وJamf، الذي يُنسب إلى باحثيه اكتشافها، يكشف عنها رسميًا اليوم. كما أنه يؤثر أيضًا على أجهزة macOS، على الرغم من أن باحثي Jamf ركزوا على النظام البيئي للهواتف المحمولة نظرًا لأن هذه العقارات يتم إهمالها في كثير من الأحيان أثناء التحديثات.
يمثل CVE-2024-44131 أهمية خاصة للجهات الفاعلة في مجال التهديد لأنه إذا تم استغلاله بنجاح، فيمكنه تمكينهم من الوصول إلى المعلومات الحساسة الموجودة على الجهاز المستهدف، بما في ذلك جهات الاتصال وبيانات الموقع والصور.
TCC هو “إطار أمني بالغ الأهمية”وأوضح فريق Jamf، الذي يطالب المستخدمين بمنح أو رفض الطلبات من تطبيقات محددة للوصول إلى بياناتهم، وCVE-2024-44131 يمكّن جهة التهديد من تجنبها تمامًا – إذا تمكنوا من إقناع الضحية بتنزيل تطبيق ضار.
وقال الفريق: “يسلط هذا الاكتشاف الضوء على مخاوف أمنية أوسع نطاقًا، حيث يركز المهاجمون على البيانات والملكية الفكرية التي يمكن الوصول إليها من مواقع متعددة، مما يسمح لهم بالتركيز على اختراق أضعف الأنظمة المتصلة”.
“إن خدمات مثل iCloud، التي تسمح بمزامنة البيانات عبر الأجهزة ذات العديد من عوامل الشكل، تمكن المهاجمين من محاولة استغلال نقاط الدخول عبر مجموعة متنوعة من نقاط الدخول بينما يتطلعون إلى تسريع وصولهم إلى الملكية الفكرية والبيانات القيمة.”
كيف يعمل
يكمن جوهر المشكلة في التفاعل بين تطبيق Apple Files.app وعملية نظام FileProvider عند إدارة عمليات الملفات.
في الثغرة الموضحة، عندما يقوم مستخدم عن غير قصد بنقل أو نسخ ملفات أو أدلة باستخدام Files.app داخل دليل يمكن للتطبيق الضار الذي يعمل في الخلفية الوصول إليه، يكتسب المهاجم القدرة على التلاعب رابط رمزي، أو رابط رمزي – الملف الموجود يحدد فقط المسار إلى الملف الهدف.
عادةً ما تتحقق واجهات برمجة التطبيقات (API) الخاصة بتشغيل الملفات من الروابط الرمزية، ولكنها تظهر عادةً في الجزء الأخير من المسار قبل بدء العملية، لذلك إذا ظهرت مبكرًا – وهو ما يحدث في سلسلة الاستغلال هذه – فستتجاوز العملية عمليات التحقق هذه.
وبهذه الطريقة، يمكن للمهاجم استخدام التطبيق الضار لإساءة استخدام الامتيازات المرتفعة التي يوفرها FileProvider إما لنقل البيانات أو نسخها إلى دليل يتحكم فيه دون أن يتم رصده. ويمكنهم بعد ذلك إخفاء هذه الأدلة أو تحميلها على خادم يتحكمون فيه.
قال فريق Jamf: “من الأهمية بمكان أن تتم هذه العملية برمتها دون إثارة أي مطالبات TCC.”
الدفاع الأكثر فعالية ضد هذا الخلل هو تطبيق التصحيحات من شركة أبل، والتي كانت متاحة لبضعة أشهر. قد ترغب فرق الأمان أيضًا في تنفيذ مراقبة إضافية لسلوك التطبيق وحماية نقطة النهاية.
وحذر نائب رئيس استراتيجية Jamf، مايكل كوفينجتون، من ذلك لأن التحديثات تضمنت أيضًا دعمًا لـ ذكاء أبل، وهي سلسلة من ميزات الذكاء الاصطناعي (AI) لأجهزة iOS، ربما يكون “الحذر” بشأن هذه الميزة قد دفع بعض المؤسسات إلى تأجيل تطبيق التحديثات مع التصحيح الضروري، مما يترك ناقل الهجوم مفتوحًا للاستغلال.
وقال الفريق: “يعد هذا الاكتشاف بمثابة دعوة للاستيقاظ للمؤسسات لبناء استراتيجيات أمنية شاملة تعالج جميع نقاط النهاية”.
“تعد الأجهزة المحمولة، مثلها مثل أجهزة الكمبيوتر المكتبية، أجزاء مهمة في أي إطار عمل أمني. توسيع الممارسات الأمنية لتشمل نقاط النهاية المتنقلة يعد أمرًا ضروريًا في عصر أصبحت فيه الهجمات عبر الأجهزة المحمولة متطورة بشكل متزايد.
