Mac World

Уязвимость Gatekeeper позволяет запускать вредоносные приложения в OS X

4
2

С момента появления в операционной системе OS X компонента Gatekeeper, призванного защитить пользователей от установки вредоносного или непроверенного ПО, эксперты пытались найти в нем уязвимости, позволяющие обойти усиленные меры защиты и установить на OS X-устройства вредоносное ПО. Как сообщает Securitylab со ссылкой на директора отдела исследований компании Synack Патрика Уордла, ему удалось найти способ обхода Gatekeeper. Его метод под названием Apple dylib hijacking был представлен на конференции Virus Bulletin в Праге, Чехия.

gate-1

Операционная система OS X оснащена несколькими механизмами защиты от вредоносного программного обеспечения, GateKeeper – один из них. Он ограничивает источники, из которых пользователь может загрузить и установить приложение. По умолчанию она настроена таким образом, что загрузить программу можно только из официального каталога Mac App Store, где все приложения проходят проверку на вирусы. Пользователь может настроить защиту так, чтобы можно было устанавливать приложения не только из Mac App Store, но и напрямую от разработчиков, а также из любых источников (если GateKeeper отключен).

Перед запуском приложения Gatekeeper выполняет ряд проверок. Обычно он не позволяет запускать неподписанные приложения, а также программы, загруженные со сторонних источников вместо Mac App Store. Уордл утверждает, что при запуске не осуществляется проверка того, что приложение не запускает или загружает другие программы или библиотеки. Убедив жертву загрузить подписанную инфицированную программу со стороннего магазина приложений, злоумышленник может загрузить вредоносную библиотеку через незащищенное HTTP-соединение.

gate-2

Уордл использовал специально сформированные библиотеки Apple и упаковал их в файл DMG, после чего убедил другого исследователя запустить его. Сразу после запуска DMG-файл искал вредоносный исполняемый файл и запускал его без ведома пользователя.

Исследователь заявил, что все без исключения версии OS X, включая OS X 10.11 El Capitan, уязвимы к данному методу атаки. Он уведомил Apple об обнаруженной уязвимости, и в настоящее время компания разрабатывает исправление.

4 комментария

Написать комментарий