Исследователь находит уязвимость в Gatekeeper Apple в патче для Mac

Исследователь утверждает, что последний патч безопасности Apple в Gatekeeper все еще можно обойти

Apple представила Gatekeeper в OS X 10.8 Mountain Lion, и он также был интегрирован в его предшественник, OS X 10.7.5 Lion, чтобы предотвратить вредоносное ПО от создания хаоса на компьютерах Mac. Однако в конце сентября прошлого года появились сообщения о том, что исследователь обнаружил способ обойти Gatekeeper, который очень легко осуществить.

Патрик Уордл, директор по исследованиям в компании Synack, заявил в интервью, что он обратил внимание на патч, выпущенный Apple в октябре, и обнаружил, что это не совсем исправление в Gatekeeper, его технологии безопасности, которая блокирует установку вредоносных приложений.

Даже при самых строгих настройках Gatekeeper, Уордл поделился, что его можно обойти с помощью пакетов приложений. Хотя Gatekeeper проводит несколько проверок приложений перед их запуском на Mac, он не предотвращает запуск приложений или загрузку других приложений или динамических библиотек из альтернативного каталога. Это связано с тем, что Gatekeeper проверяет только первое приложение, которое запускает пользователь.

Основная цель программы безопасности — проверить цифровую подпись приложения. Если приложение имело цифровую подпись Apple, то Gatekeeper позволял пользователю установить приложение. То же самое произошло и с цифровой подписью сторонних приложений.

Но, похоже, что Gatekeeper не был надежным. На самом деле, очень часто, по-видимому, легитимные приложения, доступные в интернете, содержали вредоносный код.

После многих попыток и ошибок Apple удалось выпустить новый патч, который сможет исправить любую уязвимость в сети безопасности. Обнаружив новейшее дополнение к Gatekeeper, Уордл взял на себя ответственность протестировать прочность программы.

Именно он заявил, что новый патч был настолько неэффективен с точки зрения безопасности, что он смог обойти его всего за 5 минут.

С 2012 года встроенная система анти-вредоносного ПО Gatekeeper является функцией в OS X от Apple. “Проблема в том, что Gatekeeper не проводит никакого анализа во время выполнения или анализа вторичных компонентов”. Идея здесь заключается в том, чтобы блокировать вредоносное ПО на Mac: только программное обеспечение, одобренное Apple, может работать на платформе.

По словам представителя Apple, новые файлы, о которых Уордл сообщил конфиденциально, были заблокированы с помощью XProtect, функции антивредоносного ПО, которая дополняет Gatekeeper.

Ниже приведено видео с доказательством концепции, предоставленное Патриком Уордлом. “Тем не менее, основная проблема не исправлена, поэтому, если кто-то найдет другое приложение, которое можно использовать в своих интересах, мы вернемся к началу”.

В своем самом ограничительном режиме Gatekeeper от Apple предназначен для остановки выполнения любых программ, полученных вне доверенных приложений OS X и Mac AppStore.

Уордл раскритиковал подход Apple, заключающийся в черном списке только небольшого числа приложений, которые могут быть использованы для эксплуатации уязвимости, вместо исправления основной причины сбоя. “Ему все равно, запустил ли исполняемый файл пользователь или злоумышленник использовал какой-то подписанный код, чтобы это запустить”.

На конференции по безопасности ShmooCon Уордл выпустит инструмент под названием Ostiarius, латинское слово для Gatekeeper, который, по его словам, выполняет то, что Apple должна была сделать в первый раз, чтобы исправить Gatekeeper.

Он отслеживает все новые процессы, создаваемые в ядре OS X. Если процесс не имеет цифровой подписи и поступает из исполняемого файла, загруженного из Интернета, он останавливается.

“Это своего рода глобальный подход”, — сказал Уордл. “Ему все равно, запустил ли исполняемый файл пользователь или злоумышленник использовал какой-то подписанный код, чтобы это запустить”.

Apple работает с Уордлом и должна скоро выпустить еще один патч. Уордл рекомендует пользователям загружать приложения напрямую из онлайн-магазина Apple, пока не будет выпущена другая версия блокировщика приложений. Также пользователи должны загружать эти приложения через безопасное/шифрованное интернет-соединение.