Principal Software La omisión de Gatekeeper en OS X se basa en cambiar el nombre de una aplicación
Software

La omisión de Gatekeeper en OS X se basa en cambiar el nombre de una aplicación

Noticias Un investigador descubre que Apple permite que el software Mac firmado inicie otras aplicaciones descargadas sin una advertencia de Gatekeeper, lo que permite un posible desvío de malware. Colaborador sénior, Tabletas 30 de septiembre de 2015 5:00 am PDT

Un investigador ha descubierto que la configuración de OS X Gatekeeper para restringir el lanzamiento de aplicaciones solo a aquellos firmados criptográficamente por Apple o tanto a desarrolladores de Apple como de terceros tiene una falla: una aplicación firmada puede acceder a otro software o componentes que han sido reemplazados con malware sin una etapa de verificación separada.



Gatekeeper solo verifica esa primera aplicación, dice Patrick Wardle , director de investigación de la empresa de investigación empresarial Synack . Eso significa que una parte malintencionada puede intercambiar una biblioteca de software dinámico, un ejecutable de línea de comandos (como un script) u otra aplicación con una versión del mismo nombre. En sus pruebas, Wardle descubrió que un instalador de Photoshop firmado cargaría complementos de otro directorio que se cambiaron por malware sin ninguna otra notificación. También probó con un programa distribuido por Apple que se negó a revelar a pedido de Apple.

Este software Trojan Horse modificado aún debe descargarse o copiarse, y luego el usuario debe iniciarlo. Esto es simplemente una omisión de Gatekeeper, señala Wardle, aunque hay muchas formas en las que los usuarios menos sofisticados son engañados para que ejecuten software con orígenes inciertos. En los sitios de descarga se pueden encontrar muchos programas gratuitos y de prueba, que se vuelven a empaquetar con programas publicitarios y otros programas no confiables.





Pero Wardell también señala que, dado que esto afecta a las aplicaciones firmadas por terceros, cualquier persona que pudiera insertarse en una conexión de red podría interceptar el malware a través de descargas no cifradas. Esto podría incluir criminales y gobiernos.

Probó las descargas de los principales proveedores de software de seguridad de OS X a principios de este año y señaló que ninguno usó conexiones seguras SSL / TLS para la descarga, pero confía en Gatekeeper para advertir a los usuarios si un paquete fue manipulado. Los usuarios están descargando software legítimo y yo diría que todavía se distribuye un porcentaje decente a través de HTTP, dice Wardle.



Wardle informó a Apple hace más de 60 días, y un portavoz de Apple confirmó a TabletS que la compañía está trabajando en una solución. Wardle presentará su investigación en una conferencia de seguridad en Praga el 1 de octubre. Apple señala que la base de datos de firmas de malware XProtect que puede enviar directamente a Mac se puede usar mientras tanto si se encuentran paquetes modificados en la naturaleza.

La función Gatekeeper de Apple se puede encontrar yendo a Preferencias del sistema> Seguridad y privacidad y haciendo clic en la pestaña General, pero no está etiquetada como tal. La opción elegida de Permitir aplicaciones descargadas desde habilita diferentes modos de Gatekeeper. Elegir Mac App Store restringe el lanzamiento de nuevas aplicaciones descargadas o copiadas que no están firmadas por el certificado digital de Apple; elegir Mac App Store e Identified Developers extiende eso a las aplicaciones creadas por usuarios registrados del programa de desarrolladores de Apple que tienen un certificado activo usado para firmar un aplicaciones.

el sistema prefiere el portero

Wardle expresa su preocupación por el hecho de que esa fruta madura sigue estando disponible y está presionando a Apple para que realice cambios más completos, ya que este es el segundo bypass de Gatekeeper que ha descubierto este año. Soy un surfista cualquiera que vive en Hawái, dice. Me preocupa que las Mac no sean un objetivo tan difícil como me gustaría.