در کنار عرضه iOS 14.6 و iPadOS 14.6، اپل از macOS Big Sur 11.4 نیز رونمایی کرده است. در این به روزرسانی اشتراک پادکست، کیفیت پخش بالاتر اپل موزیک و … به مک اضافه شده است. اما جدای از ویژگیها و قابلیتهای جدید، گزارش شده که اپل یک حفره امنیتی مهم را برطرف کرده است که به هکرها اجازه میداد بدون رضایت کاربر از صفحه عکس یا فیلم بگیرند.
طبق گزارشی که توسط Jamf منتشر شده، اپل یک آسیب پذیری روز صفر را در macOS Big Sur 11.4 را رفع کرده است که به هکرها اجازه هایجک دسترسیهای برنامههای موجود را میداد و آنها را قادر میساخت که از صفحه نمایش کاربر مخفیانه عکس یا فیلم بگیرند.
یک نقص در macOS به هکر اجازه میدهد که فریمورک Transparency Consent and Control یا همان TCC اپل را کنترل کنند. این فریمورک عملکردهای سیستم برای دسترسی برنامههای شخص ثالث را حفظ میکرد. این اساسا به هکرها اجازه میدهد که بدون تایید کاربر به مجوزهایی مانند دسترسی کامل به دیسک، ضبط صفحه نمایش و … دسترسی داشته باشند. به طور معمول اپلیکیشنهای شخص ثالث برای داشتن این دسترسیها، باید از کاربر تاییدیه بگیرند.
به گفته Jamf، از این آسیب پذیری استفاده شده است. در هنگام تحقیق درباره بد افزار مک به نام XCSSET، که از طریق پروژههای آلوده Xcode به این سیستم عامل راه یافته بود، مشکل امنیتی بالا مشخص شده است.
این آسیب پذیری هکر را قادر میسازد که یک برنامه را در داخل برنامه دیگر ایجاد کند. به طور مثال هکر میتواند در داخل برنامهی کنفرانس ویدیویی محبوب Zoom، یک برنامه دیگر ایجاد کند و از آنجایی که برنامه Zoom از قبل مجوز ضبط را دارد، به این مجوز نیز دسترسی پیدا میکرد. Jamf در گزارش خود خاطر نشان کرده که تا کنون فقط اسکرین شات گرفتن از صفحه نمایش مک با استفاده از این اکسپلویت دیده شده است.
طی بیانیهای که فوربس منتشر کرده، اپل تاکید کرده این مسئله فقط برای کاربرانی که اپلیکیشنها را خارج از اپ استور مک دریافت کردهاند، رخ میدهد. به گفته اپل هیچ کدام از برنامه و بازیهای دانلود شده از اپ استور مک با این مسئله مواجه نمیشوند.
این آسیب پذیری مهم در macOS Big Sur 11.4 رفع شده است. پیشنهاد میکنیم در اسرع وقت macOS Big Sur 11.4 را روی مک خود نصب کنید. برای نصب این به روزرسانی روی لوگوی اپل در گوشه صفحه نمایش سمت چپ بزنید و گزینه About this Mac را انتخاب کنید. سپس گزینه Software Update را انتخاب نمایید.