Эксплойт хакерской атаки на Gatekeeper позволяет злоумышленникам внедрять вредоносное ПО на ваш Mac

Злоумышленники могут использовать инструмент защиты от вредоносного ПО Gatekeeper на Mac с помощью нового эксплойта и устанавливать вредоносные приложения

В 2012 году Apple представила Gatekeeper как дополнительный уровень безопасности для своей настольной операционной системы Mac OS X. Эта функция была разработана, чтобы предотвратить даже самых опытных пользователей от случайной установки вредоносного программного обеспечения на свои компьютеры. Gatekeeper проверяет цифровой сертификат приложения, которое устанавливается на Mac, чтобы убедиться, что оно подписано одобренным разработчиком или что загрузка происходит непосредственно из Apple App Store.

Однако было установлено, что Gatekeeper позволяет злоумышленникам внедрять вредоносное ПО на ваш Mac, полностью обходя известную безопасность Mac. Используя специально разработанный эксплойт, кибератакующие могут открыть вредоносное приложение для Mac, даже если оно настроено на открытие только тех, которые загружены из App Store.

Эксплойт был обнаружен Патриком Уордлом, директором по исследованиям в компании безопасности Synack. Уордл обнаружил, что эксплойт возможен благодаря ключевому недостатку в дизайне Gatekeeper, который позволяет злоумышленнику использовать бинарный файл, уже доверенный Apple, для выполнения вредоносных файлов.

Уордл нашел широко доступный бинарный файл, который уже подписан Apple, и который при выполнении запускает отдельное приложение, расположенное в той же папке. Из соображений безопасности имена файлов не были раскрыты. Поэтому давайте назовем их Бинарный 1 и Бинарный 2.

Что делает эксплойт хакерской атаки на Gatekeeper, так это просто переименовывает Бинарный 1 и затем упаковывает его в образ диска Apple. Поскольку переименованный Бинарный 1 уже подписан самой Apple, он будет немедленно одобрен Gatekeeper и выполнен OS X.

Получив доступ к ядру ОС, Бинарный 1 будет искать Бинарный 2, расположенный в той же папке, которая в данном случае является загруженным образом диска. Поскольку Gatekeeper проверяет только оригинальный файл, на который нажимает конечный пользователь, эксплойт Уордла заменяет легитимный Бинарный 2 на вредоносный и упаковывает его в тот же образ диска под тем же именем файла. Поскольку Бинарный 2 не требует цифрового сертификата для запуска, он может установить все, что хочет злоумышленник.

Аналогичный метод также работает с плагинами (например, дополнениями Photoshop), которые могут обойти Gatekeeper: найдите приложение, которое загружает плагины, замените ваше вредоносное ПО на один из этих плагинов, и снова Gatekeeper не обращает внимания.

Эти упакованные файлы могут устанавливать различные типы вредоносного ПО, включая логгеры паролей, приложения, которые могут захватывать аудио и видео, и программное обеспечение для ботнетов.

Эксплойт хакерской атаки на Gatekeeper работает на всех версиях Mac OS X, включая El Capitan и Yosemite. Уордл заявил, что ему удалось успешно протестировать свой эксплойт на бета-версии El Capitan.

Говоря о безопасности и конфиденциальности, Патрик Уордл сделал хорошее замечание, сказав, что:

“Если я могу это найти, вы должны предположить, что группы хакеров или более сложные государственные структуры нашли аналогичные уязвимости. Я уверен, что существуют и другие приложения, подписанные Apple, которые также могут быть использованы для обхода Gatekeeper.”

Уордл говорит, что уязвимость была сообщена 60 дней назад, и у него есть планы представить свои выводы на Международной конференции Virus Bulletin в четверг в Праге. Тем временем Apple осведомлена о недостатке и работает над исправлением, чтобы устранить основную причину. Хотя неясно, когда исправление будет доступно, единственный совет до тех пор — получать приложения только из тех источников, которым вы можете доверять.