Встроенные Apple защитные механизмы легко обойти и проэксплуатировать


AppleРуководитель исследовательского отдела ИБ-компании Synack Патрик Уордл (Patrick Wardle) заявил, что без особых усилий можно обойти традиционные средства защиты операционной системы OS X. Это стало возможным благодаря тому, что защитная технология Gatekeeper позволяет выполнение неподписанного кода.

Отметим, утилита Gatekeeper используется для проверки кода и является предустановленной на всех Mac под управлением OS X. Данный инструмент сконструирован таким образом, что по умолчанию позволяет либо выполнение подписанного кода, либо, в зависимости от настроек, принимает пакеты только от Mac App Store.

Эксперт заверил, что встроенные Apple защитные механизмы – Gatekeeper, Xprotect, требования к сертификатам цифровой подписи – достаточно легко обойти и проэксплуатировать.

Напомним, что до недавнего времени все обновления безопасности Mac загружались только через незащищенное HTTP-соединение, полагаясь на Gatekeeper для верификации кода. Однако после того, как был обнаружен способ обхода утилиты, злоумышленники имеют возможность осуществить атаку "человек посередине". Теперь, прежде чем внедрить код в легитимные загрузки хорошо подготовленным атакующим, таким как национальные государства, можно будет мониторить процесс загрузки.

Следующая проблема в том, что десктопная операционная система Apple позволяет работу неподписанных локальных приложений. Таким образом, после того, как машина была скомпрометирована, злоумышленники могут добавлять свой собственный код в уже подписанный. При этом OS X даже не заметит, что прежде подписанное приложение не является таковым, и позволит ему работать дальше.


Обновлено (09.05.2015 03:02)