פירצת אבטחה חמורה ב-OS X, גם אתחול לא יעזור
פירצת האבטחה נתגלתה על ידי חוקר שבחר לחשוף אותה בפומבי לפני ששיתף את אפל וזכה לביקורת חריפה בשל כך
נרדמו בשמירה? מקור: Pexels
חדש בגיקטיים: לוח משרות הייטק שמתמקד רק במשרות מתחום ההייטק, מתעדכן באופן קבוע ופתוח למגייסים ולמחפשי עבודה.
אופסי. מסתבר כי הגרסה האחרונה של מערכת ההפעלה OS X מכילה פגם חמור שמאפשר להאקרים לתקוף את המחשב, גם אם נעול באמצעות סיסמא. המחדל נובע בשל מסמך נסתר, Sudoers, שהוא למעשה מעין רשימה המכילה את כל התוכנות המורשות ׳להתעסק׳ עם המחשב שלך. מכיוון ובמערכת ההפעלה הנוכחית, יוסמיטי, שונתה הצורה בו הרשימה מאוחסנת, קיימת סוג של פירצה המאפשרת להוסיף גם תוכנות זדוניות לרשימת התוכנות המורשות. בצורה זו, אם בטעות תלחצו עם סקריפט זדוני, האקרים יוכלו להשתלט על המחשב שלכם ולהתקין תוכנות לא רצויות.
פירסם את הפירצה לפני שפנה לאפל
תמיד אמרו עליהם שהם הרבה יותר בטוחים וחסינים בפני מתקפות, וירוסים ותוכנות זדוניות למיניהם, מכיוון והקושחה שלהם בלתי ניתנת לחדירה, שהאקרים לא מוצאים בהם עניין ומה לא. חוקרי האבטחה – Corey Kallenberg, Xeno Kovah ו-Trammell Hudson מצאו כי קיימות מספר פגיעויות המשפיעות על הקושחה גם של המחשב שנחשב כחסין מכולם – המק כמובן. בכדי להמחיש את טענתם, יצרו החוקרים לראשונה תולעת אשר ביכולה לתקוף מרחוק את הקושחה של המק, ולהעביר את הנזק ממחשב אחד לשני, זאת מבלי שיהיו מחוברים לרשת, מספיק שתחברו מתאם כמו Thunderbolt Ethernet ותעבירו אותו בין מחשב למחשב בשביל שאלו ידבקו.
התולעת האכזרית, שזכתה לכינוי Thunderstrike 2 חסינה אפילו בפני אתחול מחדש של כל המערכת. מדובר בסוגיה בעייתית במיוחד שכן במידה ולא הייתה רק בגדר תרגיל, הייתה עשויה לגרום למשתמשים רבים פשוט להשליך את המחשב שלהם לפח, שכן לרוב האנשים והארגונים אין את האמצעים בכדי לבצע ניתוח מעמיק באופן פיזי למחשב, ולתכנת מחדש את השבב.
עד שאפל תטרח לתקן את הבאג, בפני המשתמשים אין יותר מידי מה לעשות עם המצב. דרך אחת היא להתקין פאץ׳ (Patch) שיצר מי שגילה לראשונה את הפירצה, מומחה האבטחה סטפן אסר, שבחר לפרסם את הפירצה בפומבי לפני ששיתף בה את אפל באופן פרטי, מעשה בעייתי בפני עצמו שזוכה ללא מעט ביקורת. בעוד שאסר נחשב למומחה אבטחה ומפתח תוכנה יודע דבר, רבים מסתייגים ולא ממהרים להתקין עדכונים לא רשמיים שלא אושרו על ידי היצרן הרשמי. בכל מקרה – Never say never.
וידאו – Thunderstrike 2 “firmworm” for MacBooks Preview Video
הילה חיימוביץ׳
גיקית, Deal With It
הגב
6 תגובות על "פירצת אבטחה חמורה ב-OS X, גם אתחול לא יעזור"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
הבנאדם לא נורמלי. למה לעזאזל הוא לא פנה לאפל?!
על מה הביקורת? כשהתפוצצה פרשת הbandgate (אייפון מתקפל בכיס) אתם חושבים שמי שהעלה את התמונות לפייסבוק דאג לעדכן את אפל קודם? הוא עובד אצלם? היו צריכים לעלות על זה בעצמם ולא לחכות שאזרח יבוא ויעדכן אותם.
פה מדובר על מידע אישי ומחשב שעולה פי 2 ולפעמים פי 5 מהאייפון יכול להיות חסר תועלת וישר לפח.
זו לא הבעיה שלו. הוא אדם פרטי (לפי מה שאני הבנתי) והוא לא מחוייב לאפל בשום צורה. שיבדקו את עצמם יותר טוב פעם הבאה, ועוד פעם אחת ושלא יצפו שהלקוחות שלהם יעשו להם QA
קצת פרופרציות. עכשיו כשהאקרים יודעים לגבי קיומה של הפריצה הם יעשו הכל בשביל לפרוץ למחשבים. אם הוא היה פונה לאפל הם היו משחררים עדכון תוכנה שהיה חוסם את הפריצה. אבל מה נעשה, האגו שלו רוצה פרסום.
איך אנחנו יודעים שהפאץ׳ עצמו לא עובד על כולנו?