Znanstvenici otkrivaju pogrešku u Appleovoj zakrpi Gatekeeper

Apple nije potpuno utvrdio slabost u Gatekeeperu, njegovoj sigurnosnoj tehnologiji koja blokira instaliranje štetnih aplikacija.

Patrick Wardle, direktor istraživanja tvrtke Synack, izjavio je u intervjuu da je preokrenuo zakrpu patcha koji je Apple objavio u listopadu i ustanovio da nije baš onakav kakav je očekivao.

Wardle je otkrio da još uvijek može zaobići Gatekeeper i instalirati zlonamjerni softver. Javno objavljuje svoje najnovije otkriće u nedjelju na konferenciji za sigurnost Shmoocon, koja počinje u petak u Washingtonu

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

"Otpuštanje zakrpe tvrdeći da je fiksna vrsta ne riješi problem ", rekao je Wardle. "Korisnici će misliti da su sigurni kada nisu."

Wardle, koji je opsežno proučavao OS X, pronašao je izvorni bug koji je Apple zakrpao, CVE-2015-7024.

Kada korisnik preuzimaju aplikaciju , Gatekeeper provjerava ima li digitalni potpis i blokira one koje Apple nema odobrenje.

Wardle je utvrdio da Gatekeeper samo provjerava početnu izvršnu datoteku koju korisnik klikne dvostruko. Tako je Wardle pronašao neki drugi kôd koji je potpisao Apple, a kada će pokrenuti, potražit će druge nepotpisane i zlonamjerne izvršne datoteke u istom direktoriju. "Problem je u tome što Gatekeeper ne potvrđuje drugu komponentu", rekao je. Kad je proučavao Appleovu zakrpu, otkrio je da je tvrtka jednostavno uvrštena na Appleov potpisani kod koji je Wardle koristio u njegovom kodu dokaznog koncepta. U stvari, tvrtka je na crnoj listi neke od svojih datoteka.

Znanstvenici Applea rekli su mu da su blokirali njegov ciljani napad, no Wardle je rekao da je mogao jednostavno upotrijebiti različite izvršne datoteke kako bi se pronašao zakrpa. tvrtka je naznačila da radi na učinkovitije zakrpe, no odlučio je ići u javnost sve dok korisnici još uvijek ne riskiraju.

Slabost se također može koristiti u napadu na čovjeka u sredini, pogotovo kada programeri ne isporučuju svoje instalere preko SSL / TLS-a (Secure Sockets Layer / Transport Layer Security).

U demonstracijskom videu Wardle je pokazao kako može ubrizgati zlonamjerni kod u jednu aplikaciju, Kaspersky antivirusni programski paket koji se ne isporučuje

"Vratili smo se na trg", rekao je.

Iznenađujuće, Wardle je početkom prošle godine otkrio da mnogi proizvođači sigurnosnih softvera još uvijek ne koriste SSL da isporučuju svoje instalatere. "Ovi momci trebaju biti sigurnosni stručnjaci", rekao je.

To znači da napredni napadač s pristupom mreži ne bi imao problema u provođenju napada čovjeka u sredini i ponovnog napada Wardleovog napada.

U Shmooconu , Wardle će objaviti alat nazvan Ostiarius - latinski riječ za Gatekeeper - koji kaže da postiže ono što je Apple trebao učiniti prvi put da riješi Gatekeeper.

Prati sve nove procese stvorene u OS X kernelu. Ako postupak nije digitalno potpisan i dolazi iz izvršne datoteke koja je preuzeta s interneta, zaustavljena je.

"To je vrsta globalnog pristupa", rekao je Wardle. "Nije važno hoće li korisnik izvršiti izvršnu datoteku ili ako napadač zlorabi neki potpisani kod kako bi to isključio."

Ostiarius će biti objavljen na Wardleovoj web stranici koja ima zbirku OS X sigurnosnih alata koji razvio se.