Apple представила Gatekeeper в 2012 году как метод защиты пользователей от вредоносных угроз, добавив различные уровни безопасности во время установки приложений для Mac. Эта функция предназначена для того, чтобы убедиться, что приложения, которые пользователи пытаются установить на свои Mac, являются легитимными и подписаны зарегистрированным разработчиком, минимизируя угрозу вредоносного ПО. Однако теперь исследователь безопасности обнаружил простой метод обхода Gatekeeper с использованием бинарного файла, уже доверенного Apple, для атаки на компьютер пользователя (через Ars Technica).
Gatekeeper предназначен исключительно для проверки исходного цифрового сертификата при загрузке приложения на Mac, гарантируя, что программа подписана одобренным Apple разработчиком или, по крайней мере, загружена из Mac App Store, прежде чем разрешить установку.
«Если приложение является действительным – то есть оно было подписано идентификатором разработчика или было (загружено) из Mac App Store – Gatekeeper, по сути, говорит: ‘Хорошо, я позволю этому работать’, а затем Gatekeeper фактически выходит», – рассказал Ars Патрик Уордл, директор по исследованиям в компании безопасности Synack. «Он не отслеживает, что делает это приложение. Если это приложение, в свою очередь, загружает или выполняет другой контент из того же каталога… Gatekeeper эти файлы не проверяет».
Даже если Gatekeeper усилен до самых высоких уровней безопасности, новый эксплойт может использовать уязвимость компьютера. Как только доверенный файл пройдет через программу безопасности, он сможет выполнить несколько других вредоносных программ, прикрепленных к остальной части установки, и получит возможность устанавливать вредоносное программное обеспечение, такое как программы для кражи паролей, приложения, которые могут записывать аудио и видео с камеры Mac, и ботнет-программы.
Исследователь, обнаруживший эксплойт, сообщил о нем Apple около 60 дней назад и «считает, что они работают над способом устранения первопричины или, по крайней мере, уменьшения ущерба, который он может нанести конечным пользователям». С тех пор представитель Apple подтвердил, что компания работает над исправлением этой проблемы и просил не раскрывать личности конкретных файлов, используемых в эксплойте. Уордл планирует представить свои исследования по эксплойту Gatekeeper на конференции Virus Bulletin Conference в четверг в Праге.
