В сентябре прошлого года глава компании Synack Патрик Вордл (Patrick Wardle) обнаружил способ обхода одной из ключевых ступеней защиты Mac OS X — Gatekeeper. Вскоре Apple выпустила патч  для этой проблемы и, казалось бы, пользователи Mac могут вздохнуть с облегчением. Однако Патрик Вордл сообщает, что расслабляться рано: Apple выбрала неверный метод для исправления уязвимости, так что угроза до сих пор сохраняется.

Осенью Вордл писал, что Gatekeeper, по сути, верифицирует приложения статически, то есть непосредственно при их установке. Основная задача Gatekeeper: проверить, была ли программа скачана из App Store и подписана ли она доверенным цифровым сертификатом. Автоматически блокируются приложения, полученные из неизвестных источников. Однако после проверки комплекта приложения, система более не интересуется тем, чем занимается  программа. Тогда как приложение вполне может запускать или загружать другие программы или бинарники из той же или относительной директории. Даже если они окажутся вредоносными, Gatekeeper не обратит на это внимания.

Эксперт проиллюстрировал свою мысль на примере приложения Adobe Photoshop, которое подписано известным разработчиком. Тем не менее, Photoshop может скачивать плагины, которые Gatekeeper уже не проверяет, а значит, в них можно внедрить вредоносный код.

С релизом Mac OS X El Capitan 10.11.1 вышло исправление проблемы. Однако Патрик Вордл сообщает, что Apple выпустила не фактический патч, а применила простой черный список. Вместо патча компания подрядила инструмент XProtect следить за подозрительными бинарниками, которые могут оказаться малварью и эксплуатировать уязвимость в Gatekeeper. XProtect просто сравнивает всё с имеющимся черным списком.

Глава Synack отмечает, что в черный список вошло малое количество файлов, включая использованные им образцы. Из-за этого уязвимость по-прежнему представляет угрозу. Вордл считает, что вместо короткого черного списка компании следовало создать систему, которая могла бы фиксировать случаи, когда доверенное приложение пытаются использовать во вред.

Эксперт опубликовал proof-of-concept видео и пообещал рассказать подробности на конференции ShmooCon, которая состоится 17 января.

Фото: Benjamin Balázs 



Оставить мнение