నా టెక్నాలజీ
గత వారం లాస్ వెగాస్లో డెఫ్కాన్ జరిగింది. ఈ కార్యక్రమంలో, డిజిటా సెక్యూరిటీ యొక్క చీఫ్ రీసెర్చ్ ఆఫీసర్ ప్యాట్రిక్ వార్డ్ల్ ప్రత్యేకంగా మరియు లోతుగా మాట్లాడాడు, అతను సిస్టమ్ రాజీకి అనుమతించే మాకోస్లో అతను పొరపాటు పడ్డాడు. కొన్ని పంక్తుల కోడ్తో ఆడుకోవడం ద్వారా, వ్యవస్థ యొక్క UI తో సింథటిక్ పరస్పర చర్యలు భారీ భద్రతా సమస్యలు మరియు దోపిడీకి మార్గం సుగమం చేస్తాయని అతను చెప్పాడు.
వార్డెల్ సూచించిన సింథటిక్ ఇంటరాక్షన్స్ రిమోట్ అటాకర్లను వినియోగదారులు ఉద్దేశించకుండా వారి తెరపై కనిపించే విషయాలపై క్లిక్ చేయడానికి కారణమయ్యే రకం. ఈ క్లిక్లు అనవసరమైన అనుమతులను ఇవ్వగలవు మరియు అటువంటి దోపిడీ ద్వారా కెర్నల్ పొడిగింపు లోడ్ చేయబడితే, మొత్తం ఆపరేటింగ్ సిస్టమ్ అత్యధిక అనుమతులతో రాజీపడవచ్చు.
ఈ సింగిల్ క్లిక్లు అనువర్తనాల అమలు, కీచైన్ యొక్క అధికారం, మూడవ పార్టీ కెర్నల్ పొడిగింపులను లోడ్ చేయడం మరియు అవుట్గోయింగ్ నెట్వర్క్ కనెక్షన్ల యొక్క అధికారాన్ని అనుమతించడానికి అధికారం చెక్పాయింట్లను దాటవేయగల శక్తిని కలిగి ఉంటాయి. వ్యవస్థకు ప్రాప్యత పొందడం, ఆసక్తి సంకేతాలను అమలు చేయడం మరియు సమాచారం మరియు ఆసక్తి పత్రాలను స్వైప్ చేయడం వంటివి దాడి చేసేవారికి సరిపోతుంది.
చాలా సమయం, మీ కంప్యూటర్లో ఏదైనా గురించి చేయమని అడిగే ఏ ప్రక్రియకైనా అనుమతి ఇవ్వమని మీరు ప్రాంప్ట్ చేయబడినప్పుడు, మీరు అడుగుతున్న ప్రక్రియలను విశ్వసించడం గురించి రెండుసార్లు ఆలోచిస్తారు. సింగిల్ క్లిక్ మానిప్యులేషన్ వ్యూహం సేవలకు విశ్వసనీయమైనదా లేదా సురక్షితమైనదా అని తెలియకుండా మీకు అనుమతి ఇవ్వడానికి కారణం కావచ్చు.
దీనికి కారణమయ్యే దుర్బలత్వం, CVE-2017-7150 , దాని వెర్షన్ 10.13 కి ముందు MacOS సంస్కరణల్లో లోపం. ఈ దుర్బలత్వం UI భాగాలతో సంకర్షణ చెందడానికి తక్కువ బలహీనమైన దాడి కోడ్లను అనుమతిస్తుంది, అదే సురక్షితమైన డైలాగ్లతో సహా ముందుకు సాగడానికి మిమ్మల్ని అనుమతి కోరడానికి పాపప్ చేస్తుంది. UI కి వ్యతిరేకంగా ఇటువంటి సింథటిక్ క్లిక్లను సృష్టించగల సామర్థ్యం దాడి చేసేవారికి తెలియని వినియోగదారు నుండి వారు కోరుకున్న అన్ని అనుమతులను పొందటానికి మరియు సిస్టమ్లో వారు ఇష్టపడేదాన్ని నిర్వహించడానికి అనుమతిస్తుంది.
ఈ సున్నా-రోజు దోపిడీని తగ్గించడానికి ఆపిల్ ఒక నవీకరణను విడుదల చేసింది. నవీకరణను 'యూజర్ అసిస్టెడ్ కెర్నల్ ఎక్స్టెన్షన్ లోడింగ్' (కెక్స్ట్) అని పిలుస్తారు, మరియు వినియోగదారులు తమ క్లిక్లను మాన్యువల్గా చేయాల్సిన అవసరం ఉన్నందున సింగిల్ క్లిక్ సింథటిక్ జనరేషన్ జరగదని నవీకరణ నిర్ధారిస్తుంది.