Już od czasów systemu OS X Leopard hakerzy mogli oszukiwać narzędzia bezpieczeństwa firm trzecich zaprojektowane do wykrywania złośliwego oprogramowania. Wszystko wskazywało, że oprogramowanie zostało oficjalnie podpisane przez Apple, podczas gdy w rzeczywistości mogło być zupełnie inaczej…

Podpisy można fałszować?

Tak, niestety od prawie 11 lat hakerzy mieli sposób na OS X potem macOS. Z raportu opublikowanego przez Ars Technica wynika, że mechanizm weryfikacji podpisów cyfrowych miał poważne wady. Specjaliści ds. bezpiczeństwa odkryli je w lutym br.

Podpisy cyfrowe są podstawową funkcją bezpieczeństwa dla wszystkich nowoczesnych systemów operacyjnych. Dzięki kryptograficznie generowanym sygnaturom użytkownicy mogą być pewni, że aplikacja została cyfrowo podpisana kluczem prywatnym zaufanej strony. Jednak według specjalistów mechanizm wielu narzędzi bezpieczeństwa systemu operacyjnego Apple dla komputerów Mac, był banalnie prosty do obejścia. W rezultacie każdy mógł przekazać złośliwy kod jako aplikację podpisaną kluczem, którego używa Apple do podpisywania swoich aplikacji.

Problem powodowały aplikacje z plikami binarnymi w formacie  Fat (Universal). Aplikacja zawiera wtedy kilka plików wykonywalnych skompilowanych dla różnych procesorów używanych w komputerach Mac. Tylko pierwszy plik tak zwany Mach-O w pakiecie musiał zostać podpisany przez Apple. Co najmniej osiem zbadanych narzędzi rożnych firm zawierało inny niepodpisany kod wykonywalny zawarty w tym samym pakiecie, co kod podpisany przez Apple. W podejrzanym kręgu znalazły się narzędzia: VirusTotal, Google Santa, Facebook OSQuery, Little Snitch Firewall, Yelp, OSXCollector, db Carbon Black i kilka innych z Objective-See.

Źle używane API?

Według specjalistów ds. bezpieczeństwa zastosowanie powyższego obejścia było dosyć proste, stąd natychmiast skontaktowali się z firmą z Cupertino. Apple z kolei stwierdziło, że nie uważa powyższego obejścia za kwestię bezpieczeństwa, którą należy bezpośrednio rozwiązać. Pod koniec marca br. firma zaktualizowała swoją dokumentację, aby wyjaśnić tę kwestię, twierdząc, że zewnętrzni deweloperzy będą musieli sprawdzić, czy wszystkie tożsamości w uniwersalnym pliku binarnym są takie same.

Specjaliści twierdzą, że nie była to wina kalifornijskiej firmy tylko nie do końca jasnej dokumentacji, która doprowadziła do tego, że użytkownicy niewłaściwie korzystali z API. Nie jest to również kwestia wyłącznie narzędzi bezpieczeństwa dla macOS firm trzecich.

Jak widać, nie ma systemów idealnych i zawsze znajdzie się sposób na znalezienie luki, nawet u Apple. Jednak nadal na tle innych systemów operacyjnych nie możemy narzekać, gdyż macOS to nadal bardzo bezpieczny system operacyjny.

Żródło

Może Cię zainteresować: