Почему не стоит открывать почтовые вложения от неизвестных отправителей

Уязвимость, взорвавшая Интернет, была обнаружена в macOS некоторое время назад. Apple не восприняла это слишком серьезно. Охотнику за уязвимостями, обнаружившему уязвимость, заплатили пятую часть минимального размера. Уязвимости не было зарегистрировано в журнале уязвимостей. Его только что ликвидировали. Но, как вскоре выяснилось, не совсем. Это по-прежнему угрожает нашей безопасности. Эту лазейку может использовать любой злодей, чтобы взять под свой контроль наш Mac и создавать на нем все, что он хочет. Особенно сейчас, когда все знают об этой бреши в безопасности macOS. Пример ее использования можно найти в сети — пример работает — но он не доказывает, что эта уязвимость опасна. Кстати, обычно лучше не открывать вложения к письмам от неизвестных отправителей, особенно сейчас.

Почему не следует открывать вложения к электронным письмам от неизвестных отправителей

Не открывайте вложения от неизвестных отправителей, там могут быть вирусы

Вы можете прикрепить не только файл, но и ссылку на Интернет-ресурс в электронном письме в Apple Mail. Прикрепленная ссылка отправляется в виде файла с расширением .inetloc. Именно с файлами inetloc злоумышленники могут проникнуть на ваш Mac. Даже если на вашем Mac установлена ​​последняя версия macOS: Big Sur, Catalina или даже невыпущенная Monterey. Если дважды щелкнуть значок файла inetloc, если в нем скрыта ссылка на Интернет-ресурс, этот ресурс откроется в браузере по умолчанию.

Apple призналась, что проверяет вашу почту с 2019 года. Вы не можете отказаться от этого

файл inetloc можно загрузить на диск и дважды щелкнуть его, чтобы открыть тот же Интернет-ресурс в Finder. Но что, если злоумышленники вмешиваются в файл inetloc? Наверняка что-то ужасное. Охотника, сообщившего об этой уязвимости, кто-то (по словам охотника, «сотрудник») попросил предоставить доказательства ее опасности. Не дожидаясь ответа, через месяц-два охотника поблагодарили и выплатили ему утешительный приз в пять тысяч долларов. Обидев человека в глубине души.

Можно ли взломать Mac

По словам исследователя уязвимости, ссылку на ресурс в Интернете в файле inetloc можно заменить несколькими «любыми» командами. Звучит угрожающе, но, к счастью, это не совсем так. В редактируемом файле inetloc ссылку на интернет-ресурс можно заменить адресом файла в файловой системе macOS. Если этот файл существует и является приложением или чем-то исполняемым (скриптом или скриптом), он (или он) будет запущен в ответ на двойной щелчок. Злоумышленник должен точно знать, где находится этот файл.

Почему не следует открывать вложения к электронным письмам от неизвестных отправителей

Довольно часто одни и те же пользователи помогают злоумышленникам взломать свой Mac

В примере со смертельным эксплойтом файл inetloc запускает приложение «Калькулятор». Пример появился только сейчас. Действительно запускать! Снова и снова, прямо по почте и в Finder, как и было обещано. Включен в версию macOS Big Sur, в которой Apple уже «устранила» эту уязвимость. И в последней бета-версии macOS Monterey. Жалко для «лучших инженеров мира», они действительно сделали большую ошибку и не все учли. Накосячили. Я уверен, что они решат эту проблему, и не только в macOS Monterey.

Spark — лучшая альтернатива почтовому клиенту Apple

Но где же «смертельная угроза»? Почему первооткрыватель этой неуязвимости не подал пример экспертам по безопасности Apple? Между тем, охотников за уязвимостями сообщают не сотрудники, а эксперты по безопасности, многие из которых когда-то зарабатывали на жизнь поиском уязвимостей. Я не говорю, что они не могут не заметить чего-то важного. Сами они так не думают. И если серьезность уязвимости вызывает сомнения, ее принято доказывать. Если вас интересуют подробности, следующий раздел для вас. Все сложнее.

Компьютер сам запускает программы

В файлах inetloc нет ничего волшебного. Это файлы XML с жесткой структурой, и только в одном из полей этой структуры значение изменяется от файла к файлу. Значение этого поля имеет тип URL. Это единый указатель ресурсов, используемый для указания веб-адреса или расположения файла в файловой системе. Тип ресурса определяется его «схемой», например, «файл», «http», «https», «mailto» и другими. В inetloc (сокращенно от «Internet Location», место в Интернете), теоретически, интернет-ресурсы должны транслироваться сюда.

Почему не следует открывать вложения к электронным письмам от неизвестных отправителей

Сам Inetloc запускает приложения на компьютере без вашего участия

Но до сих пор не было принято никаких мер против ссылок на ресурсы иного характера. Приложения, сценарии и сценарии, указанные в файле inetloc, работали плавно и легко. Сейчас у меня нет возможности проверить это, но они говорят, что при запуске из файла inetloc никаких проверок не производится и что таким образом вы можете запускать любое приложение, даже если оно не прошло аутентификацию Apple. Уровень безопасности, выбранный пользователем в настройках системы («Запускать только приложения из App Store» или не только подписанный разработчиком), игнорируется. Теоретически уязвимость «inetloc» может быть использована для проникновения на Mac, но я не знаю, как это сделать с помощью вложений электронной почты.

Как защитить себя от отслеживания в приложении Почта на Mac и iOS

Опять же, почему это важно: файлы inetloc выполняют только те файлы, которые существуют в определенных местах. Запуск локальных файлов в файлах inetloc действительно должен быть заблокирован. Исправление Apple предотвращает запуск URL-адресов, начинающихся с «file: //». Этим и ограничились устранители уязвимости. Но URL-адреса, которые используют одну или несколько прописных букв, а не строчных («File: //», «fiLE: //» и т.д.) в обозначении схемы, по-прежнему работают. Сколько инженеров Apple и сколько лет потребуется, чтобы исправить эту ошибку? Другими словами, будет ли эта уязвимость окончательно исправлена ​​в финальной версии macOS Monterey?

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: