Τα τελευταία χρόνια τα macOS malware εμφανίζονται όλο και πιο συχνά. Γι’ αυτό το λόγο, η Apple έχει προσθέσει διάφορα επίπεδα προστασίας, που καθιστούν πολύ πιο δύσκολη την εγκατάσταση και εκτέλεση ενός κακόβουλου λογισμικού σε Mac. Αλλά μια ευπάθεια στο λειτουργικό σύστημα, που αποκαλύφθηκε δημόσια και διορθώθηκε άμεσα από την Apple, χρησιμοποιήθηκε ήδη για την παράκαμψη των επιπέδων ασφαλείας.
Ο ερευνητής ασφαλείας Cedric Owens ανακάλυψε την ευπάθεια στα μέσα Μαρτίου, εξετάζοντας τις άμυνες του macOS. Ο μηχανισμός Gatekeeper της Apple απαιτεί από τους προγραμματιστές να εγγραφούν στην Apple και να πληρώνουν ένα ποσό (συνδρομή), ώστε το λογισμικό τους να μπορεί να λειτουργεί σε Mac. Το software notarization process της εταιρείας επιβάλλει σε όλες τις εφαρμογές να υποβάλλονται σε μια αυτοματοποιημένη διαδικασία ελέγχου. Το σφάλμα που βρήκε ο Owens δεν βρέθηκε σε αυτά τα συστήματα, αλλά μάλλον στο ίδιο το macOS. Σύμφωνα με τα ευρήματά του, οι επιτιθέμενοι θα μπορούσαν να δημιουργήσουν το κακόβουλο λογισμικό, με τέτοιο τρόπο ώστε να ξεγελάσουν το λειτουργικό σύστημα της Apple και να το κάνουν να επιτρέψει την εκτέλεση του malware ακόμα και αν απέτυχε σε όλους τους ελέγχους ασφαλείας.
Δείτε επίσης: Διορθώνεται σοβαρό σφάλμα στην εγκατάσταση του MacOS Big Sur
“Με όλες τις βελτιώσεις ασφαλείας που έκανε η Apple τα τελευταία χρόνια, ήμουν αρκετά έκπληκτος που λειτούργησε αυτή η απλή τεχνική“, λέει ο Owens, “Έτσι το ανέφερα αμέσως στην Apple, δεδομένου ότι οι πραγματικοί επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν αυτήν την τεχνική για να παρακάμψουν το Gatekeeper. Υπάρχουν πολλοί τρόποι για την εκμετάλλευση αυτού του σφάλματος“.
Η Apple υπέθεσε εσφαλμένα ότι όλες οι εφαρμογές έχουν πάντα συγκεκριμένα χαρακτηριστικά. Ο Owens ανακάλυψε ότι εάν δημιουργούσε μια εφαρμογή που ήταν σαν ένα script (δηλαδή κώδικας που λέει σε άλλο πρόγραμμα τι να κάνει αντί να το κάνει το ίδιο) και δεν περιελάμβανε ένα τυπικό application metadata file που ονομάζεται “info.plist”, θα μπορούσε να τρέξει την εφαρμογή σε οποιοδήποτε Mac. Το macOS δεν θα έκανε τη βασική ερώτηση: “Αυτή η εφαρμογή κατέβηκε από το Internet. Είστε βέβαιοι ότι θέλετε να την ανοίξετε“;
Δείτε επίσης: Sudo bug: Επηρεάζει και συσκευές που χρησιμοποιούν macOS
Ο Owens ανέφερε το σφάλμα στην Apple και μοιράστηκε επίσης τα ευρήματά του με τον ερευνητή ασφάλειας macOS, Patrick Wardle, ο οποίος ανέλυσε λεπτομερέστερα το ζήτημα ασφαλείας.
“Το λειτουργικό σύστημα λέει σωστά, “Περιμένετε ένα λεπτό, αυτό είναι από το Διαδίκτυο, θα κάνω όλους τους ελέγχους μου“, λέει ο Wardle. Αρχικά, το macOS ελέγχει αν έχει γίνει το notarization process, κάτι που σε αυτήν την περίπτωση δεν έχει γίνει. Ωστόσο, μετά ελέγχει αν το λογισμικό είναι ένα πακέτο εφαρμογών. Όταν βλέπει ότι δεν υπάρχει αρχείο “info.plist”, το macOS συμπεραίνει λανθασμένα ότι το software δεν είναι εφαρμογή, αγνοεί οποιαδήποτε άλλη ένδειξη για το αντίθετο και το αφήνει να τρέξει χωρίς καμία προσοχή στον χρήστη. “Απλώς λέει «Εντάξει, cool» και εκτελεί οτιδήποτε“, λέει ο Wardle. “Είναι κάτι τρελό“!
Αφού κατάλαβε καλύτερα πώς λειτουργεί το σφάλμα και πώς θα μπορούσε να επιτρέψει σε ένα malware να τρέξει στο macOS, ο Wardle επικοινώνησε με την Jamf, μια εταιρεία παροχής software για διαχειριστές συστημάτων που ασχολούνται με συσκευές της Apple, για να δει αν το προϊόν προστασίας από ιούς της εταιρείας είχε επισημάνει οποιοδήποτε κακόβουλο λογισμικό. Στην πραγματικότητα, η Jamf είχε επισημάνει μια έκδοση του Shlayer adware που εκμεταλλεύτηκε το σφάλμα.
Δείτε επίσης: Η συμμορία του REvil ζητά από την Apple λύτρα για να μη διαρρεύσει σχέδια προϊόντων της
“Αυτό υπονομεύει πλήρως πολλά βασικά, θεμελιώδη στοιχεία του macOS“.
Χθες, η Apple κυκλοφόρησε μια ενημερωμένη έκδοση ασφαλείας για να διορθώσει την ευπάθεια στο macOS Big Sur 11.3 και να αποκλείσει πιθανές malware επιθέσεις.
Οι χρήστες λαμβάνουν πλέον μια ειδοποίηση ότι οι κακόβουλες εφαρμογές “δεν μπορούν να ανοίξουν επειδή ο προγραμματιστής δεν μπορεί να αναγνωριστεί” και συνιστάται να αφαιρέσουν το disk image επειδή μπορεί να περιέχει κακόβουλο λογισμικό.
Πηγή: Times News Express