گروه Project Zero در گوگل، شهرت بالایی در کشف حفرههای امنیتی محصولات خود گوگل و همچنین دیگر شرکتها دارد. اعضای آن گروه، حفرههای امنیتی را در نرمافزارها کشف میکنند و ابتدا بهصورت خصوصی به شرکتهای مورد نظر گزارش میدهند. آنها ۹۰ روز به شرکتها فرصت میدهند تا آسیبپذیری را برطرف کنند و پس از آن، خبر کشف خود را رسانهای میکنند.
سال گذشته، گروه امنیتی گوگل اخبار قابلتوجهی را پیرامون آسیبپذیریهای ویندوز 10S ومایکروسافت اج منتشر کرد. جدیدترین بررسی آنها، حفرهی امنیتی خطرناکی را در کرنل macOS نشان میدهد.
یکی از محققان Project Zero گوگل در جریان بررسیهای خود به این نتیجه رسید که اگرچه کرنلسیستمعامل مک (XNU) در برخی اوقات قابلیتمدیریت منابع COW یا copy-on-write را ارائه میکند، اما همهی موارد کپی شده برای تغییر و بهینهسازی در خلال فرایندهای پردازش، در دسترس نیستند. در تعریف ساده، با آن که قابلیت COW تنها در مدیریت منابع سیستمعامل به کار میرود و آسیبپذیری آن به بخشهای دیگر منتقل نمیشود، اما نحوهی پیادهسازی آن توسط اپل، مشکلاتی را برای بخشهای دیگر بههمراه خواهد داشت.
گروه Project Zero به این نتیجه رسید که اگر یک فایل سیستمی توسط کاربر تغییر یابد، زیرسیستم مدیریتی مجازی، متوجه تغییرات نخواهد شد. درنتیجه، مجرمان سایبری میتوانند فعالیتهای خرابکارانه انجام دهد و فایل سیستمی نیز از آن مطلع نشود. جزئیات یافتههای گروه تحقیقاتی گوگل، در متن زیر آمده است:
فرایند COW نهتنها با حافظههای ناشناس سیستمعامل کار میکند، بلکه در فرایندهای نقشهدهی به فایلها نیز اجرا میشود. این بدان معنا است که وقتی فرایند مقصد شروع به خواندن از حافظهی منتقل شده میکند، فشار روی حافظه، احتمالا باعث میشود که صفحات ذخیرهکنندهی حافظهی منتقل شده، از حافظهی موقت حذف شوند. سپس، وقتی مجددا به آن صفحات نیاز باشد، از فایلهای سیستمی پشتیبان فراخوانده میشوند.
اگر یک هکر بتواند فایل ذخیره شدهای را بدون اطلاع به زیرسستم مدیریت مجازی تغییر داده یا حذف کند، با یک باگ امنیتی روبهرو خواهیم شد. سیستمعامل مک به کاربران با دسترسی عادی اجازه میدهد که فایلهای سیستمی ایجاد کرده و بارگذاری کنند. بهعلاوه، وقتی یک فایل سیستمی بهصورت مستقیم تغییر یابد، اطلاعات تغییر به فایلهای سیستمی اصلی منتقل نمیشوند.