Pesquisador encontra falha no Gatekeeper da Apple em patch do Mac

Pesquisador diz que o último patch de segurança da Apple no Gatekeeper ainda pode ser contornado

A Apple introduziu o Gatekeeper no OS X 10.8 Mountain Lion e ele também foi integrado em seu predecessor, o OS X 10.7.5 Lion, para impedir que softwares maliciosos causassem estragos nos computadores Mac. No entanto, no final de setembro do ano passado, relatórios revelaram que um pesquisador descobriu uma forma de contornar o Gatekeeper que é muito fácil de realizar.

Patrick Wardle, diretor de pesquisa da empresa Synack, disse em uma entrevista que ele fez engenharia reversa de um patch que a Apple lançou em outubro e descobriu que não era bem a solução no Gatekeeper, sua tecnologia de segurança que bloqueia a instalação de aplicativos prejudiciais.

Mesmo com o Gatekeeper em suas configurações mais rigorosas, Wardle compartilhou que ele pode ser contornado através do uso de pacotes de aplicativos. Embora o Gatekeeper realize várias verificações em aplicativos antes de serem lançados em um Mac, ele não impede que aplicativos sejam executados ou carreguem outros aplicativos ou bibliotecas dinâmicas de um diretório alternativo. Isso ocorre porque o Gatekeeper apenas verifica o primeiro aplicativo que o usuário lança.

O objetivo principal do programa de segurança é verificar a assinatura digital do aplicativo. Se o aplicativo tiver a assinatura digital da Apple, então o Gatekeeper permitirá que o usuário instale o aplicativo. A mesma coisa aconteceu com a assinatura digital de aplicativos de terceiros.

Mas parece que o Gatekeeper não era confiável. Na verdade, muitas vezes, aplicativos aparentemente legítimos disponíveis na web continham código de malware.

Após muitas tentativas e erros, a Apple conseguiu lançar um novo patch, um que será capaz de reparar qualquer brecha na rede de segurança. Descobrindo a mais nova adição da Apple ao Gatekeeper, Wardle se encarregou de testar a força do programa.

Foi ele quem declarou que o novo patch era tão ineficiente em termos de segurança, que ele conseguiu encontrar uma forma de contorná-lo em apenas 5 minutos.

Desde 2012, o sistema anti-malware integrado Gatekeeper tem sido um recurso no OS X da Apple. “O problema é que o Gatekeeper não faz nenhuma análise em tempo de execução ou análise de componentes secundários”. A ideia aqui é bloquear malware nos Macs: apenas desenvolvedores de software que a Apple aprovou podem fazer o software funcionar na plataforma.

De acordo com um representante da Apple, os novos arquivos que Wardle relatou privadamente foram bloqueados usando o XProtect, um recurso antimalware que complementa o Gatekeeper.

Abaixo está um vídeo de prova de conceito fornecido por Patrick Wardle. “No entanto, o problema central não está corrigido, então se alguém encontrar outro aplicativo que possa ser abusado, estamos de volta ao ponto de partida”.

Em seu modo mais restritivo, o Gatekeeper da Apple é projetado para impedir a execução de qualquer programa obtido fora de aplicativos confiáveis do OS X e da Mac AppStore.

Wardle criticou a abordagem da Apple de colocar na lista negra apenas um pequeno número de aplicativos que podem ser usados para explorar a vulnerabilidade, em vez de corrigir a causa subjacente da falha. “Não se importa se o executável foi executado pelo usuário ou se um atacante estava abusando de algum código assinado para iniciar isso”.

Na convenção de segurança ShmooCon, Wardle lançará uma ferramenta chamada Ostiarius, a palavra em latim para Gatekeeper, que ele diz que realiza o que a Apple deveria ter feito da primeira vez para corrigir o Gatekeeper.

Ela monitora todos os novos processos criados no kernel do OS X. Se um processo não estiver digitalmente assinado e vier de um executável que foi baixado da Internet, ele é interrompido.

“É uma espécie de abordagem global”, disse Wardle. “Não se importa se o executável foi executado pelo usuário ou se um atacante estava abusando de algum código assinado para iniciar isso.”

A Apple está trabalhando com Wardle e deve lançar outro patch em breve. Wardle recomenda que os usuários baixem aplicativos diretamente da loja online da Apple até que outra versão do bloqueador de aplicativos seja lançada. Além disso, os usuários devem baixar esses aplicativos através de uma conexão de internet segura/encriptada.