ఆపిల్, ఇంక్., సి-నెట్
మాకోస్ సురక్షితమైన యునిక్స్ పర్యావరణంగా పనిచేయడానికి ఖ్యాతిని కలిగి ఉన్నప్పటికీ, ఆపరేటింగ్ సిస్టమ్ యొక్క భద్రతా సేవలను మోసగించడానికి మూడవ పార్టీ డెవలపర్లు సిద్ధాంతపరంగా ఆపిల్ యొక్క కోడ్ సంతకం API ని ఉపయోగించవచ్చని తెలుస్తోంది. ఈ సాధనాలు అప్పుడు పొందుపరిచిన హానికరమైన కోడ్ ఆపిల్ చేత సంతకం చేయబడిందని తప్పుగా నమ్ముతారు మరియు అందువల్ల అది ఏమి చేసినా అమలు చేయడం సురక్షితం.
విశ్వసనీయమైన కోడ్ను కలుపుటకు కోడ్ సంతకం ఒక అద్భుతమైన మార్గం, తద్వారా సిస్టమ్లో నడుస్తున్న ఏకైక ప్రక్రియలు అమలు చేయడానికి సురక్షితమైనవి. మాకోస్ మరియు ఐఓఎస్ రెండూ మాక్-ఓ బైనరీలను మరియు అప్లికేషన్ కట్టలను ధృవీకరించడానికి సంతకాలను ఉపయోగిస్తాయి, అయితే వారానికి ముందు నిపుణులు ఈ వ్యవస్థను అణగదొక్కడానికి ఒక మార్గాన్ని కనుగొన్నారు.
ఇన్ఫోసెక్ పరిశోధకుల అభిప్రాయం ప్రకారం, అధిక శాతం భద్రతా ఉత్పత్తులు క్రిప్టోగ్రాఫిక్ సంతకాలను ధృవీకరించే తప్పు పద్ధతిని ఉపయోగిస్తాయి, ఇవి ఆపిల్ సంతకం చేసిన సంతకం చేయని కోడ్ను వీక్షించేలా చేస్తాయి.
ఆపిల్ యొక్క సొంత సాధనాలు API లను సరిగ్గా అమలు చేసినట్లు తెలుస్తోంది. అందువల్ల దుర్బలత్వాన్ని ఉపయోగించుకునే పద్ధతి కొంచెం బేసి మరియు కొవ్వు బైనరీలు ఎలా పని చేస్తాయనే దానిపై కొంతవరకు ఆధారపడతాయి.
ఉదాహరణకు, ఒక భద్రతా పరిశోధకుడు ఆపిల్ సంతకం చేసిన చట్టబద్ధమైన ప్రోగ్రామ్ను కలిపి i386 కంపైల్ చేసిన బైనరీతో కలిపాడు కాని x86_64 సిరీస్ మాకింతోష్ కంప్యూటర్ల కోసం.
అందువల్ల దాడి చేసేవారు శుభ్రమైన మాకోస్ ఇన్స్టాలేషన్ నుండి చట్టబద్ధమైన బైనరీని తీసుకొని దానికి ఏదైనా జోడించాలి. క్రొత్త బైనరీలోని CPU రకం పంక్తి హోస్ట్ చిప్సెట్కు స్థానికం కాదని అనిపించేలా వింతగా మరియు చెల్లనిదిగా సెట్ చేయాలి, ఎందుకంటే ఇది కెర్నల్ను చట్టబద్ధమైన కోడ్ను దాటవేసి, ఏకపక్షంగా అమలు చేయడం ప్రారంభిస్తుంది ప్రాసెస్లు తరువాత లైన్లో చేర్చబడతాయి.
అయితే, ఆపిల్ యొక్క సొంత ఇంజనీర్లు ఈ రచన యొక్క సమయానికి ముప్పును అంతగా చూడలేరు. దోపిడీని వ్యవస్థాపించడానికి వినియోగదారులను అనుమతించడానికి సామాజిక ఇంజనీరింగ్ లేదా ఫిషింగ్ దాడి అవసరం. ఏదేమైనా, అనేక మూడవ పార్టీ డెవలపర్లు పాచెస్ జారీ చేశారు లేదా వాటిని జారీ చేయడానికి ప్రణాళిక వేశారు.
ఏదైనా ప్రభావిత భద్రతా సాధనాలను ఉపయోగిస్తున్న వినియోగదారులు భవిష్యత్తులో సమస్యలను నివారించడానికి పాచెస్ అందుబాటులోకి వచ్చిన వెంటనే అప్డేట్ చేయాలని కోరారు, అయినప్పటికీ ఈ దోపిడీ యొక్క ఉపయోగం ఇంకా తలెత్తలేదు.
టాగ్లు ఆపిల్ భద్రత మాకోస్