Когда мы говорим «apple», возможно, мы сразу же думаем обо всех этих технических гаджетах (iPhone и Mac), а не о настоящем яблочном плоде. Разве это не так? Apple преуспела в том, чтобы зарекомендовать себя как самую безопасную и частную операционную систему всех времен. По иронии судьбы, мы никогда не знали, что эта «безопасная» система фактически подвергала своих пользователей риску взлома на протяжении 11 лет. Последняя выявленная уязвимость Mac OS показывает, как приложения сторонних разработчиков могли обмануть программное обеспечение Apple, минуя процесс подписи кода Apple.
Уязвимость Mac OS позволяет вредоносным программам обходить сигнатуру Apple
Во вторник Джош Питтс (Josh Pitts), сотрудник службы безопасности и инженер по кадрам Okta, подробно рассказал об уязвимости Mac OS. Именно он обратился к вопросам, связанным с проверками подписей сторонних разработчиков Apple. Он отметил, как интерпретация сторонним разработчиком API подписи кода обходила сигнатуру Apple и неправильно истолкованные не подписанные вредоносные коды воспринимались как подписанные Apple.
Из-за этой неправильной интерпретации хакеры имели широкую возможность сбрасывать вредоносные коды, которые могут использовать сторонние разработчики, неверно истолковывая их как проверенные Apple. Таким образом, вредоносное программное обеспечение может легко получить доступ к устройствам клиентов Apple. Именно этот обход подписи кода, в основном, затрагивал операционную систему Mac OS и некоторые более старые версии OSX.
Патрик Уордл (Patrick Wardle), разработчик CRO DigitaSecurity и Objective-See, не рассматривает эту проблему как «уязвимость». По его словам, обход подписей всегда легкая задача для хакеров.
«Если хакер хочет обойти ваши инструменты защиты и прямо нацелен только на это, то он, в итоге, победит», — говорит Уордл. «Чтобы быть полностью ясным, необходимо отметить, что это не является уязвимостью или ошибкой в коде Apple. По сути, просто нечеткая/запутанная документация, которая привела к тому, что люди неправильно использовали свой API.»
Обмануть цифровую подпись программы было «легко» и «банально»
Apple требует, чтобы сторонние разработчики использовали API подписи кода. Тем не менее, процесс, с помощью которого средства безопасности операционной системы Mac OS проверялись на цифровую подпись, был довольно банальным для обхода. Любой, кто знает эту легкость обхода сигнатуры Apple, может затем бросить вредоносное программного обеспечения в качестве подписанного приложения. Ввиду того факта, что операционная система Mac OS использовала один и тот же процесс с 2007 года, риск заражения вредоносными программами и взлома существовал в течение последних 11 лет.
Джош Питтс (Josh Pitts) довольно хорошо объяснил, как кто-то может использовать недостатки для распространения вредоносного программного обеспечения. Сам он продемонстрировал недостаток, когда его файл «ncat.frankenstein» появился под цифровой подписью, хотя он не был подтвержден Apple. По его словам, уязвимость работает в определенных условиях. Если хакер знал о них, он мог обойти подпись кода.
«В macOS/iOS подписание кода фокусируется на бинарных и прикладных пакетах Mach-O, чтобы гарантировать, что в памяти будет выполняться только доверенный код», — говорит Джош Питтс. «Эта уязвимость существует в различии между тем, как загрузчик Mach-O загружает подписанный код, и как неправильно используется API кодовых подписей (Code Signing APIs) для проверки подписанного кода и эксплуатируется через искаженный Universal/Fat Binary».
Джош Питтс впервые обнаружил проблему в начале 2018 года, когда он сообщил подробности Apple. Однако, Apple в то время не рассматривала это как проблему безопасности. Но, продолжая общаться с Apple по этому поводу, все изменилось. Он описал подробный график, показывающий, как он обнаружил проблему 22 февраля 2018 года, однако потребовалось некоторое время, чтобы раскрыть этот вопрос для общественности 12 июня 2018 года.
Перевод: Анна Давыдова
Источник: latesthackingnews.com
Популярные темы: