كشف الباحث الأمني Koh M. Nakagawa من شركة FFRI Security خلال مؤتمر Nullcon Berlin 2025 عن ثغرة خطيرة في نظام macOS (CVE-2025-24204) تمكن من الوصول إلى ذاكرة أي عملية نشطة على الجهاز حتى مع تفعيل حماية سلامة النظام (System Integrity Protection – SIP). وتكمن خطورة الثغرة في تمكين مهاجم من استخراج مفاتيح التشفير الخاصة بـKeychain وفك تشفير تطبيقات iOS دون الحاجة إلى كلمة مرور المستخدم.
أصل الثغرة يعود إلى منح أداة gcore، وهي أداة شرعية في macOS تستخدم لتوليد تقارير الأعطال (core dumps)، امتياز com.apple.system-task-ports.read في الإصدار macOS 15.0 (Sequoia). هذا الامتياز أتاح للأداة قراءة ذاكرة أي عملية على النظام، بما في ذلك العمليات المحمية. وقد أزالت Apple هذا الامتياز في الإصدار 15.3.
Nakagawa أوضح أن اكتشافه للثغرة جاء صدفة عند تجربة أداة ProcDump-for-Mac من Microsoft، حيث لاحظ إمكانية تفريغ الذاكرة لعمليات محمية رغم تفعيل SIP. بعد تحليل الأداة، تبيّن أنها تستخدم gcore داخلياً، ما يكشف أن Microsoft على الأرجح كانت تدرك وجود الامتياز، لكنها لم تعتبره ثغرة.
الوصول إلى Keychain وتجاوز TCC وفك تشفير تطبيقات iOS
أوضح Nakagawa أن استغلال الثغرة يتيح تفريغ ذاكرة العمليات الحساسة مثل securityd، والتي تدير Keychain. ومن خلال تحليل الملف الناتج، يمكن استخراج المفتاح الرئيسي المستخدم لتشفير ملف Keychain، ما يسمح بفك تشفيره دون الحاجة إلى كلمة المرور.
كما أن حماية TCC (Transparency, Consent, and Control) يمكن تجاوزها باستخدام الأسلوب ذاته. فالمحتوى المحمل من ملفات حساسة مثل جهات الاتصال أو الوثائق ضمن تطبيقات sandboxed يمكن الوصول إليه بتفريغ ذاكرة التطبيق وتحليلها باستخدام أدوات مثل vmmap.
أما فيما يخص تطبيقات iOS، فمع دعم أجهزة Apple Silicon لتشغيل هذه التطبيقات مباشرة على macOS، فإن شيفراتها تبقى مشفرة عند التخزين، لكنها تحمل بشكل غير مشفر في الذاكرة عند التشغيل. وباستخدام gcore، تمكن Nakagawa من استخراج نسخ غير مشفرة من هذه التطبيقات.
المعالجة والمراقبة
قامت Apple بإزالة الامتياز الخاطئ من أداة gcore في إصدار macOS 15.3. ويمكن اكتشاف أي محاولة استغلال لهذه الثغرة باستخدام إطار عمل Apple للأمن الطرفي (Endpoint Security Framework)، وذلك عبر مراقبة حدث get_task_read وتحليل عمليات gcore التي تستهدف عمليات حساسة.
رغم ذلك، أعرب Nakagawa عن تشكيكه في جدوى مراقبة الامتيازات على نطاق المؤسسات، لكونها غير عملية ما لم تتوافر تحديثات من الشركة المصنعة.
الدروس المستفادة للمختصين في الأمن السيبراني
تؤكد هذه الثغرة أن الامتيازات القوية الممنوحة للأدوات الشرعية قد تشكل تهديداً مباشراً إن لم تراجع بدقة. وأشار Nakagawa إلى أن Apple لا تجري مراجعات أمنية كافية عند منح امتيازات حرجة لبعض الملفات التنفيذية، ما يعني أن وجود ثغرات مماثلة أمر مرجح.
وشدد على أن المهاجم لا يحتاج إلى صلاحيات كاملة للسيطرة على النظام، بل يكفي الوصول إلى الذاكرة فقط، ما يتيح استخراج بيانات بالغة الحساسية.
وفي الختام، تُظهر هذه الحادثة أن الحواجز الأمنية مثل SIP وTCC قد تنهار بسهولة إن لم تدعم بمراجعات دقيقة ودائمة لصلاحيات الأدوات المضمّنة في النظام.
