Apple, Inc., C-Net
Hoewel macOS de reputatie heeft te functioneren als een veilige Unix-omgeving, lijkt het erop dat externe ontwikkelaars in theorie de codeondertekenings-API van Apple zouden kunnen gebruiken om de beveiligingsservices van het besturingssysteem te misleiden. Deze tools kunnen dan ten onrechte denken dat ingesloten kwaadaardige code is ondertekend door Apple en daarom veilig kan worden uitgevoerd, ongeacht wat het doet.
Code-ondertekening is een uitstekende manier om niet-vertrouwde code te verwijderen, zodat de enige processen die op een systeem worden uitgevoerd, de processen zijn die veilig kunnen worden uitgevoerd. Zowel macOS als iOS gebruiken handtekeningen om Mach-O-binaries en applicatiebundels te certificeren, maar het lijkt erop dat experts eerder deze week een manier hebben gevonden om dit systeem te ondermijnen.
Volgens onderzoekers van Infosec gebruikt een overgrote meerderheid van beveiligingsproducten een foutieve methode om cryptografische handtekeningen te verifiëren, waardoor ze mogelijk niet-ondertekende code zien als ondertekend door Apple.
Het lijkt erop dat Apple's eigen tools de API's echter correct hebben geïmplementeerd. De methode om misbruik te maken van de kwetsbaarheid is daarom een beetje vreemd en hangt in ieder geval gedeeltelijk af van hoe fat binaries werken.
Een beveiligingsonderzoeker combineerde bijvoorbeeld een legitiem programma dat door Apple was ondertekend en mengde het met een binair programma dat i386 was gecompileerd, maar voor Macintosh-computers uit de x86_64-serie.
Een aanvaller zou daarom een legitiem binair bestand uit een schone macOS-installatie moeten halen en er vervolgens iets aan moeten toevoegen. De regel van het CPU-type in het nieuwe binaire bestand moet dan worden ingesteld op iets vreemds en ongeldig om het te laten lijken alsof het niet eigen is aan de host-chipset, aangezien dit de kernel de opdracht geeft om de legitieme code over te slaan en willekeurig te beginnen met uitvoeren processen die later worden toegevoegd.
De eigen ingenieurs van Apple zien de kwetsbaarheid echter niet zozeer als een bedreiging op het moment van schrijven. Er zou een social engineering- of phishing-aanval nodig zijn om gebruikers de installatie van een exploit toe te laten. Desalniettemin heeft een aantal externe ontwikkelaars patches uitgegeven of zijn ze van plan deze uit te geven.
Gebruikers die getroffen beveiligingstools gebruiken, worden aangespoord om bij te werken zodra patches beschikbaar komen om toekomstige problemen te voorkomen, hoewel er nog geen bekend gebruik van deze exploit is opgetreden.
Tags Apple-beveiliging macOS
