Apples portvokter åpner for skadevare

Banalt enkelt å omgå kravet om kodesignering, ifølge sikkerhetsforsker.

Programikonet ved installering er det eneste som er synlig for brukeren. Filnavnet er sladdet i påvente av at Apple kommer opp med en fiks mot svakheten.
Programikonet ved installering er det eneste som er synlig for brukeren. Filnavnet er sladdet i påvente av at Apple kommer opp med en fiks mot svakheten. Bilde: Patrick Wardle via Ars Technica
1. okt. 2015 - 08:47

Apple har en sikkerhetsfunksjon kalt Gatekeeper i operativsystemet OS X, med ulike nivåer av begrensninger for hvilke applikasjoner som er tillatt å installere.

Hensikten er å hindre kjøring av blant annet ondsinnet programvare, men nå kommer det frem detaljer om hvor lett det er å omgå funksjonen.

Trikset som åpner for infeksjon av trojanere og annen skadevare skal være banalt enkelt å utføre, slik sikkerhetsforsker Patrick Wardle fra selskapet Synack forklarer det overfor nettstedet Threatpost.

Standardvalget i Gatekeeper er at kun programvare lastet ned fra Mac App Store er tillatt å kjøre, samt applikasjoner signert med et gyldig utviklersertifikat utstedt fra Apple.

Det Gatekeeper derimot ikke gjør, er å sjekke om en gyldig kodesignert applikasjon laster inn andre biblioteker eller applikasjoner i samme mappestruktur.

- Det er ikke særlig komplisert heller, men er effektivt for å fullstendig omgå Gatekeeper. Dette gir hackere en mulighet til å ta i bruk gamle triks som å infisere brukere via trojanere, svindel med falske antivirus eller infisere programvare som spres via Pirate Bay, sier Wardle.

Alle versjoner av OS X, inkludert nyeste El Capitan som offisielt ble lansert onsdag denne uken, er ifølge ham sårbar for utnyttelse av svakheten, som han skal ha varslet om til Apple for flere måneder siden.

Wardle har også laget et konseptbevis med fungerende angrepskode, som utnytter en allment tilgjengelig binærfil som er signert av Apple. I samråd med Apple har han valgt å holde tilbake navnet på denne filen, skriver Ars Technica.

Denne binærfilen starter tydeligvis et annet gyldig program i samme mappestruktur. Dermed er det bare å erstatte målfilen med en skadevare som gis samme filnavn, så blir også dette kjørt uten at Gatekeeper protesterer.

Sikkerhetsforskeren har også tidligere advart om at det er trivielt å omgå sikkerhetsmekanismer i Apples operativsystem, noe digi.no skrev om sist i april i år.

Han skal dele ytterligere detaljer om sine funn i et foredrag på sikkerhetskonferansen Virus Bulletin Conferance i Praha i dag.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvordan lage en stillingsannonse på Tekjobb?
Les mer
Hvordan lage en stillingsannonse på Tekjobb?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra