يتم تقديم 9to5Mac Security Bite لك حصريًا من خلال Mosyle، منصة Apple الموحدة الوحيدة. إن جعل أجهزة Apple جاهزة للعمل وآمنة للمؤسسات هو كل ما نقوم به. يجمع نهجنا المتكامل الفريد للإدارة والأمن بين أحدث الحلول الأمنية الخاصة بشركة Apple من أجل التعزيز والامتثال المؤتمت بالكامل، والجيل القادم من EDR، وZero Trust المدعومة بالذكاء الاصطناعي، وإدارة الامتيازات الحصرية مع أقوى وأحدث Apple MDM في السوق. والنتيجة هي منصة Apple الموحدة المؤتمتة بالكامل والتي تثق بها حاليًا أكثر من 45000 مؤسسة لجعل الملايين من أجهزة Apple جاهزة للعمل دون أي جهد وبتكلفة معقولة. اطلب تجربتك الموسعة اليوم وافهم لماذا يعتبر Mosyle كل ما تحتاجه للعمل مع Apple.
في الأسبوع الماضي، مختبرات Jamf للتهديدات البحوث المنشورة في إصدار آخر من عائلة MacSync Stealer ذات الشعبية المتزايدة، يلفت الانتباه إلى مشكلة متنامية في أمان macOS: البرامج الضارة التي تتسلل إلى أهم وسائل حماية تطبيقات الطرف الثالث من Apple. تم توزيع هذا المتغير الجديد داخل تطبيق ضار تم توقيعه رمزيًا باستخدام معرف مطور صالح وتم توثيقه بواسطة Apple، مما يعني أنه ليس لدى Gatekeeper أي سبب لمنع تشغيله.
تاريخياً، كان نموذج أبل ناجحاً إلى حد كبير. يجب أن تكون التطبيقات الموزعة خارج Mac App Store موقعة بالتشفير وموثقة لفتحها دون أن يضطر المستخدمون إلى اجتياز الكثير من العقبات. لكن نموذج الثقة هذا يفترض أن التوقيع يثبت حسن النية. ما نشهده الآن هو أن المهاجمين يحصلون على شهادات مطورين حقيقية ويرسلون برامج ضارة لا يمكن تمييزها عن البرامج الشرعية في وقت التثبيت.
بعد التحدث مع العديد من الأشخاص المطلعين على الأمر، هناك عدة طرق تتبعها الجهات الفاعلة في التهديد لتحقيق ذلك. في كثير من الحالات، يستخدمون مزيجًا مما يلي:
يمكن أن تعمل التطبيقات الضارة الموقعة والموثقة باستخدام شهادات معرف المطور التي تم اختراقها أو حتى شراؤها عبر القنوات السرية، مما يقلل بشكل كبير من الشكوك. كما رأينا في تقرير جامف عن أ متغير MacSync Stealer الجديد، غالبًا ما يكون الملف الثنائي الأولي عبارة عن ملف تنفيذي بسيط نسبيًا يستند إلى Swift والذي يبدو حميدًا أثناء التحليل الثابت لشركة Apple ولا يفعل الكثير من تلقاء نفسه.
يحدث السلوك الخبيث الحقيقي لاحقًا، عندما يصل التطبيق إلى البنية التحتية البعيدة لجلب حمولات إضافية. إذا لم تكن هذه الحمولات متاحة أثناء التوثيق ولم يتم تنشيطها إلا في ظل ظروف التشغيل الواقعية، فلن يكون لدى الماسحات الضوئية من Apple أي شيء ضار لتحليله. تقوم عملية التوثيق بتقييم ما هو موجود في وقت التقديم، وليس ما قد يسترده التطبيق بعد الإطلاق، ومن الواضح أن المهاجمين يخططون حول تلك الحدود.
يعود أول ظهور للبرامج الضارة الموثقة من Apple إلى عام 2020 على الأقل، وتم اكتشافه بواسطة أ مستخدم تويتر. في وقت سابق من شهر يوليو، كان هناك مثيل آخر لتطبيق ضار مماثل تم توقيعه وتوثيقه من قبل شركة Apple. والآن هل وصل الأمر إلى درجة الغليان؟ ربما لا. من ناحية، أوافق على أنه حتى حالة واحدة من هذا الحدوث هي حالة كثيرة جدًا.
من ناحية أخرى، أعتقد أنه من السهل جدًا إلقاء اللوم على شركة Apple هنا. يعمل النظام إلى حد كبير كما هو مصمم. لم يكن المقصود من توقيع التعليمات البرمجية والتوثيق ضمان بقاء البرامج سليمة إلى الأبد، بل كان من الممكن إرجاعها إلى مطور حقيقي وإبطالها عند اكتشاف إساءة الاستخدام.
هذا ناقل هجوم مثير للاهتمام وسأستمر في تتبعه حتى عام 2026.
في نهاية المطاف، أفضل دفاع ضد البرامج الضارة هو تنزيل البرامج مباشرة من المطورين الذين تثق بهم أو من Mac App Store.
لدغة الأمن هو الغوص العميق الأسبوعي الذي يقدمه موقع 9to5Mac في عالم أمان Apple. كل أسبوع، يكشف Arin Waichulis عن التهديدات الجديدة ومخاوف الخصوصية ونقاط الضعف والمزيد، مما يشكل نظامًا بيئيًا يضم أكثر من 2 مليار جهاز.
فننسى: تويتر/X, ينكدين, المواضيع
FTC: نحن نستخدم الروابط التابعة التلقائية لكسب الدخل. أكثر.
نشر لأول مرة على: 9to5mac.com
تاريخ النشر: 2025-12-28 16:27:00
الكاتب: Arin Waichulis
تنويه من موقع “yalebnan.org”:
تم جلب هذا المحتوى بشكل آلي من المصدر:
9to5mac.com
بتاريخ: 2025-12-28 16:27:00.
الآراء والمعلومات الواردة في هذا المقال لا تعبر بالضرورة عن رأي موقع “yalebnan.org”، والمسؤولية الكاملة تقع على عاتق المصدر الأصلي.
ملاحظة: قد يتم استخدام الترجمة الآلية في بعض الأحيان لتوفير هذا المحتوى.