Il ricercatore trova un difetto nel Gatekeeper di Apple nella patch per Mac

Il ricercatore afferma che l’ultima patch di sicurezza di Apple nel Gatekeeper può ancora essere aggirata

Apple ha introdotto Gatekeeper in OS X 10.8 Mountain Lion ed è stato anche integrato nel suo predecessore, OS X 10.7.5 Lion, per ostacolare il software dannoso dal creare caos sui computer Mac. Tuttavia, alla fine di settembre dello scorso anno, i rapporti hanno rivelato che un ricercatore ha scoperto un bypass per Gatekeeper che è molto facile da attuare.

Patrick Wardle, direttore della ricerca presso l’azienda Synack, ha dichiarato in un’intervista di aver ingegnerizzato a ritroso una patch rilasciata da Apple in ottobre e ha scoperto che non era proprio la soluzione nel Gatekeeper, la sua tecnologia di sicurezza che blocca l’installazione di applicazioni dannose.

Anche con Gatekeeper alle sue impostazioni più severe, Wardle ha condiviso che può essere aggirato attraverso l’uso di pacchetti di app. Mentre Gatekeeper esegue diversi controlli sulle app prima che vengano avviate su un Mac, non impedisce alle app di essere eseguite o di caricare altre app o librerie dinamiche da una directory alternativa. Questo perché Gatekeeper verifica solo la prima applicazione che l’utente avvia.

L’obiettivo principale del programma di sicurezza è controllare la firma digitale dell’applicazione. Se l’applicazione aveva la firma digitale di Apple, allora Gatekeeper avrebbe permesso all’utente di installare l’applicazione. La stessa cosa è successa con la firma digitale delle applicazioni di terze parti.

Ma sembra che il Gatekeeper non fosse affidabile. Infatti, molto spesso, applicazioni apparentemente legittime disponibili sul web contenevano codice malware.

Dopo molti tentativi ed errori, Apple è riuscita a rilasciare una nuova patch, una che sarà in grado di riparare qualsiasi violazione nella rete di sicurezza. Scoprendo la più recente aggiunta di Apple al Gatekeeper, Wardle ha preso su di sé il compito di testare la robustezza del programma.

Fu lui a dichiarare che la nuova patch era così inefficiente in termini di sicurezza, che riuscì a trovare un modo per aggirarla in soli 5 minuti.

Dal 2012, il sistema anti-malware integrato Gatekeeper è una funzionalità di OS X di Apple. “Il problema è che Gatekeeper non esegue alcuna analisi in tempo reale o analisi sui componenti secondari”. L’idea qui è di bloccare il malware sui Mac: solo gli sviluppatori di software approvati da Apple possono far funzionare il software sulla piattaforma.

Secondo un rappresentante di Apple, i nuovi file che Wardle ha segnalato privatamente sono stati bloccati utilizzando XProtect, una funzionalità anti-malware che è un complemento a Gatekeeper.

Di seguito è riportato un video di prova del concetto fornito da Patrick Wardle. “Tuttavia, il problema principale non è risolto, quindi se qualcuno trova un’altra app che può essere abusata, siamo di nuovo al punto di partenza”.

Nella sua modalità più restrittiva, il Gatekeeper di Apple è progettato per fermare l’esecuzione di qualsiasi programma ottenuto al di fuori delle applicazioni OS X fidate e del Mac AppStore.

Wardle ha criticato l’approccio di Apple di mettere in blacklist solo un numero ridotto di app che possono essere utilizzate per sfruttare la vulnerabilità piuttosto che correggere la causa sottostante del fallimento. “Non importa se l’eseguibile è stato eseguito dall’utente o se un attaccante stava abusando di qualche codice firmato per avviarlo”.

Alla convention di sicurezza ShmooCon, Wardle rilascerà uno strumento chiamato Ostiarius, la parola latina per Gatekeeper, che dice raggiunge ciò che Apple avrebbe dovuto fare la prima volta per correggere Gatekeeper.

Monitora tutti i nuovi processi creati nel kernel di OS X. Se un processo non è firmato digitalmente e proviene da un eseguibile scaricato da Internet, viene bloccato.

“È un approccio globale”, ha detto Wardle. “Non importa se l’eseguibile è stato eseguito dall’utente o se un attaccante stava abusando di qualche codice firmato per avviarlo.”

Apple sta lavorando con Wardle e dovrebbe rilasciare un’altra patch a breve. Wardle consiglia agli utenti di scaricare le applicazioni direttamente dal negozio online di Apple fino a quando non verrà lanciata un’altra versione del blocco delle app. Inoltre, gli utenti devono scaricare queste applicazioni tramite una connessione internet sicura/crittografata.