Fat Binariesilla voi olla avain uuteen macOS-heikkouteen

Apple, Inc., C-Net

Vaikka macOSilla on maine toimiakseen turvallisena Unix-ympäristöinä, näyttää siltä, ​​että kolmannen osapuolen kehittäjät voisivat teoriassa käyttää Applen koodin allekirjoitus-sovellusliittymää huijaamaan käyttöjärjestelmän suojauspalvelut. Nämä työkalut saattavat sitten väärin uskoa, että Apple on allekirjoittanut upotetun haitallisen koodin ja on siksi turvallinen käyttää riippumatta siitä, mitä se tekee.

Koodin allekirjoittaminen on erinomainen tapa karsia epäluotettava koodi siten, että ainoat järjestelmässä käynnissä olevat prosessit ovat turvallisia suorittaa. Sekä macOS että iOS käyttävät allekirjoituksia Mach-O-binaarien sekä sovelluspakettien varmentamiseen, mutta näyttää siltä, ​​että asiantuntijat aiemmin viikolla löysivät tavan heikentää tätä järjestelmää.

Infosec-tutkijoiden mukaan ylivoimainen enemmistö tietoturvatuotteista käyttää virheellistä menetelmää salauksen allekirjoitusten varmentamiseksi, mikä saa heidät katsomaan mahdollisesti allekirjoittamatonta koodia Applen allekirjoittamana.

Vaikuttaa siltä, ​​että Applen omat työkalut ovat kuitenkin toteuttaneet sovellusliittymät oikein. Menetelmä haavoittuvuuden hyödyntämiseksi on siksi hieman outo ja riippuu ainakin osittain siitä, miten rasva binäärit toimivat.

Esimerkiksi yksi tietoturvatutkija yhdisti Applen allekirjoittaman laillisen ohjelman ja sekoitti sen binaariin, joka oli käännetty i386: lle, mutta x86_64-sarjan Macintosh-tietokoneille.

Hyökkääjän olisi sen vuoksi otettava laillinen binääri puhtaasta macOS-asennuksesta ja lisättävä sitten siihen jotain. Uuden binäärisen suorittimen tyyppinen rivi on sitten asetettava jollekin oudolle ja virheelliselle, jotta se näyttää siltä, ​​että se ei ole natiivi isäntäpiirisarjalle, koska se kehottaa ydintä ohittamaan laillisen koodin ja aloittamaan mielivaltaisen prosessit, jotka lisätään myöhemmin rivillä.

Applen omat insinöörit eivät kuitenkaan pidä haavoittuvuutta niin suurena uhkana kuin kirjoituksen aikaan. Se vaatii sosiaalisen suunnittelun tai tietojenkalasteluhyökkäyksen saadakseen käyttäjät sallimaan hyväksikäytön asentamisen. Useat kolmannen osapuolen kehittäjät ovat kuitenkin joko julkaisseet korjaustiedostoja tai aikovat julkaista niitä.

Käyttäjiä, jotka käyttävät mitä tahansa tietoturvatyökaluja, kehotetaan päivittämään heti, kun korjaustiedostot ovat saatavilla, tulevaisuuden ongelmien välttämiseksi, vaikka tätä hyödyntämistä ei ole vielä tiedetty.