Fat Binaries so lahko ključ do nove ranljivosti macOS

Apple, Inc., C-Net

Čeprav ima macOS sloves, da deluje kot varno okolje Unix, se zdi, da bi lahko neodvisni razvijalci teoretično uporabili Applov API za podpisovanje kode, da bi prevarali varnostne storitve operacijskega sistema. Ta orodja lahko potem napačno menijo, da je Apple podpisal vdelano zlonamerno kodo in je zato varna za uporabo, ne glede na to, kaj počne.

Podpisovanje kode je odličen način za izločanje nezaupljive kode, tako da so edini procesi, ki se izvajajo v sistemu, varni za izvajanje. Tako macOS kot iOS s podpisi potrjujeta binarne datoteke Mach-O in svežnje aplikacij, vendar se zdi, da so strokovnjaki v začetku tedna našli način, kako spodkopati ta sistem.

Po mnenju raziskovalcev infosec velika večina varnostnih izdelkov uporablja napačno metodo preverjanja kriptografskih podpisov, zaradi česar si potencialno nepodpisano kodo ogledujejo, kot jo je podpisal Apple.

Zdi se, da so Applova lastna orodja API-je pravilno implementirala. Metoda za izkoriščanje ranljivosti je zato nekoliko čudna in se vsaj delno opira na to, kako delujejo maščobne binarne datoteke.

Na primer, en raziskovalec varnosti je združil zakonit program, ki ga je podpisal Apple, in ga pomešal z binarno različico, ki je bila sestavljena i386, vendar za računalnike Macintosh serije x86_64.

Napadalec bi torej moral iz čiste namestitve macOS vzeti legitimen binarni zapis in mu nato nekaj dodati. Vrstico tipa CPU v novi binarni datoteki je nato treba nastaviti na nekaj nenavadnega in neveljavnega, da bi bilo videti, kot da ni izvorna za gostiteljski nabor čipov, saj bo to jedru naročilo, da preskoči legitimno kodo in začne izvajati poljubno procesi, ki se dodajo pozneje.

Appleovi inženirji pa ranljivosti v času pisanja tega mnenja ne vidijo toliko grožnje. Potrebovali bi napad socialnega inženiringa ali lažnega predstavljanja, da bi uporabniki dovolili namestitev exploit-a. Kljub temu so številni neodvisni razvijalci izdali popravke ali jih nameravajo izdati.

Uporabnike, ki uporabljajo kakršna koli prizadeta varnostna orodja, pozivamo, da jih posodobijo takoj, ko so na voljo popravki, da bi preprečili prihodnje težave, čeprav še ni znane uporabe tega izkoriščanja.