Exploração de hack do Gatekeeper permite que hackers instalem malware no seu Mac

Hackers podem explorar a ferramenta de Malware Gatekeeper do Mac com uma nova exploração e instalar aplicativos maliciosos

Em 2012, a Apple introduziu o Gatekeeper como uma camada adicional de segurança para seu sistema operacional de desktop Mac OS X. Este recurso foi projetado para impedir que até mesmo os usuários mais avançados instalem acidentalmente software malicioso em seus computadores. O Gatekeeper verifica o certificado digital de um aplicativo que está sendo instalado em um Mac para garantir que ele tenha sido assinado por um desenvolvedor aprovado ou que o download venha diretamente da Apple App Store.

No entanto, foi descoberto que o Gatekeeper permite que hackers instalem malware no seu Mac, contornando completamente a famosa segurança do Mac. Usando uma exploração especialmente elaborada, os atacantes cibernéticos conseguem abrir um aplicativo Mac malicioso, mesmo que ele esteja configurado para abrir apenas aqueles baixados da App Store.

A exploração foi descoberta por Patrick Wardle, diretor de pesquisa da empresa de segurança Synack. Wardle descobriu que a exploração é possível graças a uma falha de design chave no Gatekeeper que permite que um atacante use um arquivo binário já confiável pela Apple para executar arquivos maliciosos.

Wardle encontrou um binário amplamente disponível que já está assinado pela Apple, que ao ser executado roda um aplicativo separado localizado na mesma pasta. Devido a preocupações de segurança, os nomes dos arquivos não foram divulgados. Portanto, vamos chamá-los de Binário 1 e Binário 2.

O que a exploração do hack do Gatekeeper faz é simples, ela renomeia o Binário 1 e então o empacota dentro de uma imagem de disco da Apple. Como o Binário 1 renomeado já está assinado pela própria Apple, ele será imediatamente aprovado pelo Gatekeeper e executado pelo OS X.

Após ganhar acesso ao núcleo do OS, o Binário 1 procurará o Binário 2 localizado na mesma pasta, que neste caso é a imagem de disco baixada. Como o Gatekeeper verifica apenas o arquivo original em que um usuário final clica, a exploração de Wardle troca o legítimo Binário 2 por um malicioso e o agrupa na mesma imagem de disco sob o mesmo nome de arquivo. Como o Binário 2 não precisa de certificado digital para ser executado, ele pode instalar qualquer coisa que o atacante desejar.

Um método semelhante também funciona com plugins (por exemplo, complementos do Photoshop) que podem contornar o Gatekeeper: encontre um aplicativo que carregue plugins, substitua seu malware por um desses plugins e novamente o Gatekeeper não presta atenção.

Esses arquivos agrupados podem instalar variados tipos de malware, incluindo registradores de senha, aplicativos que podem capturar áudio e vídeo, e software de botnet.

A exploração do hack do Gatekeeper funciona em todas as versões do Mac OS X, incluindo El Capitan e Yosemite. Wardle afirmou que conseguiu testar sua exploração com sucesso na versão beta do El Capitan.

Falando sobre segurança e privacidade, Patrick Wardle fez um bom ponto ao dizer que:

“Se eu posso encontrá-lo, você deve assumir que grupos de hackers ou estados-nação mais sofisticados encontraram fraquezas semelhantes. Tenho certeza de que existem outros aplicativos assinados pela Apple que também podem ser abusados para contornar o Gatekeeper.”

Wardle diz que a vulnerabilidade foi relatada há 60 dias e tem planos de apresentar suas descobertas na Conferência Internacional do Virus Bulletin na quinta-feira em Praga. Enquanto isso, a Apple está ciente da falha e está trabalhando em um patch para corrigir a causa subjacente. Embora não esteja claro quando a correção chegará, o único conselho até lá seria obter aplicativos apenas de fontes que você pode confiar.