ゲートキーパーのハッキング脆弱性により、ハッカーがマルウェアをMacに忍び込ませることが可能に

ハッカーは新しい脆弱性を利用してMacのマルウェアゲートキーパーを悪用し、悪意のあるアプリをインストールできる

2012年、AppleはMac OS Xデスクトップオペレーティングシステムに追加のセキュリティ層としてゲートキーパーを導入しました。この機能は、最も高度なユーザーでさえも、自分のコンピュータに悪意のあるソフトウェアを誤ってインストールするのを防ぐために設計されました。ゲートキーパーは、Macにインストールされるアプリケーションのデジタル証明書を確認し、それが承認された開発者によって署名されているか、ダウンロードがApple App Storeから直接行われていることを確認します。

しかし、ゲートキーパーはハッカーが有名なMacのセキュリティを完全にバイパスして、マルウェアをあなたのMacに忍び込ませることを許可することが判明しました。特別に作成された脆弱性を使用することで、サイバー攻撃者は、App Storeからのみダウンロードされたものを開くように設定されていても、悪意のあるMacアプリを開くことができます。

この脆弱性は、セキュリティ会社Synackの研究ディレクターであるパトリック・ウォードルによって発見されました。ウォードルは、この脆弱性が、攻撃者がAppleによってすでに信頼されているバイナリファイルを使用して悪意のあるファイルを実行できるようにするゲートキーパーの設計上の重大な欠陥のおかげで可能であることを発見しました。

ウォードルは、Appleによってすでに署名された広く利用可能なバイナリを見つけました。これを実行すると、同じフォルダーにある別のアプリが実行されます。セキュリティ上の懸念から、ファイルの名前は公開されていません。したがって、これらをバイナリ1とバイナリ2と呼ぶことにしましょう。

ゲートキーパーのハッキング脆弱性が行うことは簡単です。バイナリ1の名前を変更し、それをAppleのディスクイメージ内にパッケージ化します。名前を変更されたバイナリ1はすでにApple自身によって署名されているため、ゲートキーパーによって直ちに承認され、OS Xによって実行されます。

コアOSへのアクセスを得た後、バイナリ1は同じフォルダーにあるバイナリ2を探します。この場合、ダウンロードされたディスクイメージです。ゲートキーパーは、エンドユーザーがクリックする元のファイルのみをチェックするため、ウォードルの脆弱性は、正当なバイナリ2を悪意のあるものと入れ替え、同じファイル名の同じディスクイメージにバンドルします。バイナリ2は実行するためにデジタル証明書を必要としないため、攻撃者が望むものを何でもインストールできます。

同様の方法は、プラグイン（たとえば、Photoshopのアドオン）にも適用され、ゲートキーパーをバイパスできます：プラグインを読み込むアプリを見つけ、そのプラグインの1つを悪意のあるものに置き換えると、再びゲートキーパーは気にしません。

これらのバンドルされたファイルは、パスワードロガー、音声やビデオをキャプチャできるアプリ、ボットネットソフトウェアなど、さまざまなタイプのマルウェアをインストールできます。

ゲートキーパーのハッキング脆弱性は、El CapitanやYosemiteを含むすべてのMac OS Xバージョンで機能します。ウォードルは、El Capitanのベータ版で自分の脆弱性を成功裏にテストできたと述べています。

セキュリティとプライバシーについて話すと、パトリック・ウォードルは次のように良い点を指摘しました。

「私が見つけられるなら、ハッカーのグループやより高度な国家が同様の弱点を見つけていると考えるべきです。他にもゲートキーパーをバイパスするために悪用できるApple署名のアプリがあると確信しています。」

ウォードルは、この脆弱性が60日前に報告され、木曜日にプラハで開催されるウイルスバレット国際会議で自分の発見を発表する計画があると述べています。一方、Appleはこの欠陥を認識しており、根本的な原因を修正するためのパッチに取り組んでいます。修正がいつ到着するかは不明ですが、それまでの唯一のアドバイスは、信頼できるソースからのみアプリを入手することです。