A Fat Binaries kulcsot tarthat az új macOS biztonsági réshez

Apple, Inc., C-Net

Bár a macOS híres arról, hogy biztonságos Unix-környezetként működik, úgy tűnik, hogy harmadik féltől származó fejlesztők elméletileg használhatják az Apple kód-aláíró API-ját az operációs rendszer biztonsági szolgáltatásainak becsapására. Ezek az eszközök akkor tévesen vélhetik úgy, hogy a beágyazott rosszindulatú kódot az Apple írta alá, ezért biztonságosan futtatható, függetlenül attól, hogy mit csinál.

A kód aláírás kiváló módja a nem megbízható kód kiszűrésének, így a rendszeren csak azok a folyamatok futnak, amelyeket biztonságosan lehet végrehajtani. Mind a macOS, mind az iOS aláírásokat használ a Mach-O bináris fájlok, valamint az alkalmazáscsomagok hitelesítésére, de úgy tűnik, hogy a hét elején a szakértők megtalálták a módját, hogy aláássák ezt a rendszert.

Az infosec kutatói szerint a biztonsági termékek elsöprő többsége hibás módszert alkalmaz a kriptográfiai aláírások ellenőrzésére, ami arra készteti őket, hogy az Apple által aláírt potenciálisan aláíratlan kódot nézzék meg.

Úgy tűnik, hogy az Apple saját eszközei azonban megfelelően implementálták az API-kat. A sebezhetőség kiaknázásának módszere ezért kissé furcsa, és legalább részben a zsír bináris fájlok működésére támaszkodik.

Például egy biztonsági kutató kombinált egy jogos programot, amelyet az Apple írt alá, és összekevert egy i386-os, de az x86_64 sorozatú Macintosh számítógépek bináris változatával.

A támadónak ezért le kell vennie egy tiszta bináris fájlt egy tiszta macOS-telepítésből, majd hozzá kell adnia valamit hozzá. Ezután az új bináris processzor típusát különösre és érvénytelenre kell állítani annak érdekében, hogy úgy tűnjön, mintha nem honos lenne a gazdagép chipsetjénél, mivel ez arra utasítja a kernelt, hogy ugorja át a törvényes kódot, és kezdje el önkényesen végrehajtani folyamatok, amelyeket később a sorban adunk hozzá.

Az Apple saját mérnökei azonban nem úgy tekintenek a veszélyeztetettségre, mint az írás idejére. Társadalmi mérnöki vagy adathalász támadásra lenne szükség ahhoz, hogy a felhasználók engedélyezzék egy kihasználás telepítését. Ennek ellenére számos harmadik féltől származó fejlesztő vagy javításokat adott ki, vagy tervezi azok kiadását.

Az érintett biztonsági eszközöket használó felhasználókat arra kérjük, hogy a jövőbeni problémák megelőzése érdekében frissítsék, amint a javítások elérhetővé válnak, bár ennek a kihasználásnak még nem ismert ismerete.