Apple, Inc., C-Net
Embora o macOS tenha a reputação de funcionar como um ambiente Unix seguro, parece que os desenvolvedores de terceiros poderiam teoricamente usar a API de assinatura de código da Apple para enganar os serviços de segurança do sistema operacional. Essas ferramentas podem, então, acreditar incorretamente que o código malicioso incorporado foi assinado pela Apple e, portanto, é seguro para execução, independentemente do que faça.
A assinatura de código é uma excelente maneira de eliminar códigos não confiáveis para que os únicos processos em execução em um sistema sejam aqueles que são seguros para execução. Tanto o macOS quanto o iOS usam assinaturas para certificar binários Mach-O, bem como pacotes de aplicativos, mas parece que os especialistas no início da semana encontraram uma maneira de minar esse sistema.
De acordo com os pesquisadores da infosec, a grande maioria dos produtos de segurança usa um método defeituoso de verificação de assinaturas criptográficas, o que os faz ver códigos potencialmente não assinados assinados pela Apple.
Parece que as próprias ferramentas da Apple, no entanto, implementaram as APIs corretamente. O método para explorar a vulnerabilidade é, portanto, um pouco estranho e depende, pelo menos em parte, de como os binários gordos funcionam.
Por exemplo, um pesquisador de segurança combinou um programa legítimo assinado pela Apple e o misturou com um binário que foi compilado para i386, mas para computadores Macintosh da série x86_64.
Portanto, um invasor teria que obter um binário legítimo de uma instalação limpa do macOS e adicionar algo a ele. A linha de tipo de CPU no novo binário deve ser configurada para algo estranho e inválido para fazer com que pareça que não é nativa do chipset host, pois isso instruirá o kernel a pular o código legítimo e começar a executar arbitrariamente processos que são adicionados posteriormente na linha.
Os próprios engenheiros da Apple, no entanto, não viam a vulnerabilidade como uma ameaça na época em que este livro foi escrito. Seria necessário um ataque de engenharia social ou phishing para fazer os usuários permitirem a instalação de um exploit. No entanto, vários desenvolvedores terceirizados emitiram patches ou planejam distribuí-los.
Os usuários que estão usando qualquer ferramenta de segurança afetada devem atualizar assim que os patches estiverem disponíveis, a fim de evitar problemas futuros, embora nenhum uso conhecido desse exploit tenha surgido.
Tag Segurança da Apple Mac OS
