Investigador encuentra falla en Gatekeeper de Apple en parche de Mac

El investigador dice que el último parche de seguridad de Apple en Gatekeeper aún puede ser eludido

Apple había introducido Gatekeeper en OS X 10.8 Mountain Lion y también se integró en su predecesor, OS X 10.7.5 Lion, para evitar que el software malicioso causara estragos en las computadoras Mac. Sin embargo, a finales de septiembre del año pasado, los informes revelaron que un investigador había descubierto una forma de eludir Gatekeeper que es muy fácil de llevar a cabo.

Patrick Wardle, director de investigación de la empresa Synack, dijo en una entrevista que realizó ingeniería inversa a un parche que Apple lanzó en octubre y descubrió que no era del todo la solución en Gatekeeper, su tecnología de seguridad que bloquea la instalación de aplicaciones dañinas.

Incluso con Gatekeeper en su configuración más estricta, Wardle compartió que se puede eludir mediante el uso de paquetes de aplicaciones. Si bien Gatekeeper realiza varias verificaciones en las aplicaciones antes de que se lancen en una Mac, no impide que las aplicaciones se ejecuten o carguen otras aplicaciones o bibliotecas dinámicas desde un directorio alternativo. Esto se debe a que Gatekeeper solo verifica la primera aplicación que el usuario lanza.

El objetivo principal del programa de seguridad es verificar la firma digital de la aplicación. Si la aplicación tenía la firma digital de Apple, entonces Gatekeeper permitiría al usuario instalar la aplicación. Lo mismo sucedió con la firma digital de aplicaciones de terceros.

Pero parece que Gatekeeper no era confiable. De hecho, muy a menudo, aplicaciones aparentemente legítimas disponibles en la web contenían código de malware.

Después de muchos intentos y errores, Apple logró lanzar un nuevo parche, uno que podrá reparar cualquier brecha en la red de seguridad. Al descubrir la nueva adición de Apple a Gatekeeper, Wardle se tomó la tarea de probar la fortaleza del programa.

Fue él quien declaró que el nuevo parche era tan ineficiente en términos de seguridad, que logró encontrar una forma de eludirlo en solo 5 minutos.

Desde 2012, el sistema anti-malware integrado Gatekeeper ha sido una característica en el OS X de Apple. “El problema es que Gatekeeper no realiza ningún análisis en tiempo de ejecución ni análisis en componentes secundarios”. La idea aquí es bloquear el malware en Macs: solo los desarrolladores de software que Apple ha aprobado pueden hacer que el software funcione en la plataforma.

Según un representante de Apple, los nuevos archivos que Wardle informó de forma privada han sido bloqueados utilizando XProtect, una función antimalware que complementa a Gatekeeper.

A continuación se muestra un video de prueba de concepto proporcionado por Patrick Wardle. “Sin embargo, el problema central no está solucionado, así que si alguien encuentra otra aplicación que pueda ser abusada, estamos de vuelta en el punto de partida”.

En su modo más restrictivo, Gatekeeper de Apple está diseñado para detener la ejecución de cualquier programa obtenido fuera de aplicaciones de OS X de confianza y de la Mac AppStore.

Wardle criticó el enfoque de Apple de incluir en la lista negra solo un pequeño número de aplicaciones que pueden ser utilizadas para explotar la vulnerabilidad en lugar de corregir la causa subyacente de la falla. “No le importa si el ejecutable fue ejecutado por el usuario o si un atacante estaba abusando de algún código firmado para iniciar eso”.

En la convención de seguridad ShmooCon, Wardle lanzará una herramienta llamada Ostiarius, la palabra latina para Gatekeeper, que dice que logra lo que Apple debería haber hecho la primera vez para arreglar Gatekeeper.

Monitorea todos los nuevos procesos creados en el núcleo de OS X. Si un proceso no está firmado digitalmente y proviene de un ejecutable que fue descargado de Internet, se detiene.

“Es un enfoque global”, dijo Wardle. “No le importa si el ejecutable fue ejecutado por el usuario o si un atacante estaba abusando de algún código firmado para iniciar eso”.

Apple está trabajando con Wardle y debería lanzar otro parche pronto. Wardle recomienda a los usuarios que descarguen aplicaciones directamente de la tienda en línea de Apple hasta que se lance otra versión del bloqueador de aplicaciones. Además, los usuarios deben descargar estas aplicaciones a través de una conexión a Internet segura/encriptada.