Forbløffende enkelt at snige malware forbi OS X’ sikkerhedssystem

Gatekeeper-funktionen i Apples styresystem, der skulle beskytte brugerne mod malware, viser sig at være en temmelig sløv dørmand.

Det er meget nemt at snige malware ind på en Apple-computer, også selvom styresystemet siden 2012 har gjort sit bedste for at sikre brugerne med sikkerhedsfunktionen Gatekeeper. Det fortæller chefen for sikkerhedsfirmaet Synac, Patrick Wardle, til websiden Ars Technica.

Gatekeeper har været en del af Apples styresystem OS X siden 2012, og har til formål at beskyttet brugerne mod uforvarende at installere malware på deres computer, eller blive narret til at downloade modificerede installationsfiler. Det sker ganske enkelt ved, at Gatekeeper blokerer for installation af filer, som ikke er forsynet med et officielt og unikt Developer ID fra Apple.

Ifølge Wardle gør det sikkerhedshul, som han har fundet, brug af en mangel i designet af Gatekeeper, der betyder, at sikkerhedssystemet kun tjekker om en installationsfil er certificeret. Det holder ikke øje med, om filen opfører sig på en uventet eller skadelig måde, når den først er inde i varmen.

Sådan omgår malware-udviklere Gatekeeper

»Hvis applikationen er i orden – den har et Developer ID eller er hentet fra App Store – så siger Gatekeeper ok, jeg lader denne fil køre, og lukker grundlæggende ned derefter. Gatekeeper holder ikke øje med, hvad applikationen laver, og hvis den begynder at indlæse eller afvikle andet indhold placeret i samme installationsfolder, så kigger Gatekeeper ikke på disse filer,« fortæller Patrick Wardle til Ars Technica.

Det Wardle har gjort, for at omgå Gatekeeper, var at finde en godkendt installationsfil, der, som en del af sin godkendte og legitime funktionalitet, afvikler en sekundær fil i sin installationsproces. Han omdøbte så den godkendte installationsfil, udskiftede dens sekundære fil med sin egen og placerede begge i samme installationsfolder. På den måde lukker Gatekeeper den godkendte installationsfil indenfor, som så igangsætter installationen af for eksempel en password-logger eller botnet-software.

Wardle har også fundet ud af, at stort set samme resultat kan opnås ved at pakke en ellers legitim installationsfil af for eksempel Photoshop med knap så stuerene plugins. Igen tjekker Gatekeeper kun selve installationssoftwaren og ikke de medfølgende plugins, som et program som Photoshop installerer helt af sig selv.

Apple er blevet gjort bekendt med dette sikkerhedshul for to måneder siden, og skulle være i gang med at udarbejde en løsning, der tager hånd om det underliggende problem i Gatekeeper.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sune Foldager

Altså, man kunne jo også bare have malwaren direkte i den originale, certificerede executable; de bliver jo ikke udsat for et totalt gennemsyn. Pointen er vel at når det bliver opdaget vil udviklernes konto blive lukket, i begge tilfælde (direkte eller indirekte malware).

  • 1
  • 0
Finn Thøgersen

Lugter det ikke lidt af stalddør og løbene heste ?

Ja, de kan lukke udviklerend konto NÅR skaden er sket, nogen har fundet ud af hvordan den skete og rapporteret det tilpas detalieret til Apple, men hvormange har nået at køre malwaren inden det sker ?

Og udvikler konti er billige, der er jo ingen blackhats der benytter deres egne data til oprettelsen...

  • 0
  • 0
Log ind eller Opret konto for at kommentere