研究者がAppleのGatekeeperに欠陥を発見、Macパッチ

研究者がAppleの最新のGatekeeperセキュリティパッチが依然としてバイパス可能であると述べる

AppleはOS X 10.8 Mountain LionでGatekeeperを導入し、悪意のあるソフトウェアがMacコンピュータに混乱を引き起こすのを防ぐために、前のバージョンであるOS X 10.7.5 Lionにも統合されました。しかし、昨年の9月末に、研究者が非常に簡単に実行できるGatekeeperのバイパスを発見したとの報告がありました。

Synackの研究ディレクターであるパトリック・ウォードルは、インタビューでAppleが10月にリリースしたパッチをリバースエンジニアリングし、Gatekeeperの修正が完全ではないことを発見したと述べました。Gatekeeperは有害なアプリケーションのインストールをブロックするセキュリティ技術です。

Gatekeeperが最も厳しい設定であっても、ウォードルはアプリバンドルを使用することでバイパスできることを共有しました。GatekeeperはアプリがMacで起動される前にいくつかのチェックを行いますが、他のアプリや動的ライブラリを別のディレクトリから実行または読み込むのを防ぐことはありません。これは、Gatekeeperがユーザーが最初に起動するアプリケーションのみを検証するためです。

このセキュリティプログラムの主な目的は、アプリケーションのデジタル署名を確認することです。アプリケーションがAppleのデジタル署名を持っている場合、Gatekeeperはユーザーにアプリケーションのインストールを許可します。サードパーティアプリケーションのデジタル署名でも同様のことが起こります。

しかし、Gatekeeperは信頼できないようです。実際、ウェブ上で入手可能な正当なアプリケーションには、マルウェアコードが含まれていることが非常に多いです。

多くの試行錯誤の末、Appleはセキュリティネットの侵害を修復できる新しいパッチをリリースしました。GatekeeperへのAppleの最新の追加を発見したウォードルは、プログラムの強度をテストすることにしました。

彼は、新しいパッチがセキュリティの観点から非常に非効率的であり、わずか5分でそれを回避できたと宣言しました。

2012年以降、組み込みのアンチマルウェアGatekeeperシステムはAppleのOS Xの機能となっています。「問題は、Gatekeeperがランタイム分析や二次コンポーネントの分析を行わないことです」。ここでのアイデアは、Mac上のマルウェアをブロックすることです：Appleが承認したソフトウェア開発者のみがプラットフォームでソフトウェアを実行できます。

Appleの代表者によると、ウォードルがプライベートに報告した新しいファイルは、Gatekeeperの補完機能であるアンチマルウェア機能XProtectを使用してブロックされています。

以下は、パトリック・ウォードルが提供した概念実証ビデオです。「しかし、核心的な問題は修正されていないので、誰かが悪用できる別のアプリを見つけた場合、私たちは元の状態に戻ります」。

最も制限されたモードでは、AppleのGatekeeperは信頼されたOS XアプリケーションやMac AppStoreの外部から取得したプログラムの実行を停止するように設計されています。

ウォードルは、脆弱性を悪用するために使用できるアプリの数をわずかにブラックリスト化するだけで、失敗の根本原因を修正しないAppleのアプローチを批判しました。「それは、実行可能ファイルがユーザーによって実行されたか、攻撃者がその実行を開始するために署名されたコードを悪用しているかを気にしません」。

セキュリティコンベンションShmooConで、ウォードルはOstiariusというツールをリリースします。これはGatekeeperのラテン語で、彼はAppleが最初にGatekeeperを修正するために行うべきだったことを達成すると述べています。

それはOS Xのカーネルで作成されたすべての新しいプロセスを監視します。プロセスがデジタル署名されておらず、インターネットからダウンロードされた実行可能ファイルから来ている場合、それは停止されます。

「それは一種のグローバルアプローチです」とウォードルは言いました。「それは、実行可能ファイルがユーザーによって実行されたか、攻撃者がその実行を開始するために署名されたコードを悪用しているかを気にしません」。

Appleはウォードルと協力しており、すぐに別のパッチをリリースする予定です。ウォードルは、別のバージョンのアプリブロッカーがリリースされるまで、ユーザーにAppleのオンラインストアから直接アプリケーションをダウンロードすることを推奨しています。また、ユーザーはこれらのアプリケーションを安全な/暗号化されたインターネット接続を介してダウンロードする必要があります。