Обход защиты OS X оказался весьма простым


Яблоко


Пользователи издавна ценят Apple как вендора безопасных продуктов. Репутация компании еще более повысилась с выходом Gatekeeper и XProtect, специализированной защиты для OS X. Тем не менее, недавнее исследование показало, что атакующий может легко обойти все эти средства безопасности и получить постоянное присутствие на Mac-компьютере, сообщает «Лаборатория Касперского».

Gatekeeper является одной из ключевых технологий, которые Apple использует для предотвращения запуска вредоносного ПО на машинах, работающих под OS X. Gatekeeper позволяет владельцу «мака» ограничить разрешения для программ, выбрав для запуска лишь те, что загружены из Mac App Store. При такой настройке на компьютере смогут работать только легитимные, снабженные цифровой подписью приложения. Однако Патрик Уордль (Patrick Wardle), руководитель исследований в Synack, утверждает, что обойти эти ограничения проще простого.

«Gatekeeper не верифицирует дополнительный контент в приложениях, – пояснил эксперт во время своего выступления на конференции RSA. – Следовательно, если отыскать одобренное Apple, запущенное пользователем приложение и заставить его загрузить сторонний контент, он не будет подвергнут проверке. Gatekeeper верифицирует лишь надежность комплекта приложения».

В дополнение к Gatekeeper разработчик OS X также выпустил антивирусную утилиту XProtect. Вредоносное ПО не является большой проблемой для этой операционной системы, однако интернет-сообществу уже известны несколько зловредных семейств, ориентированных на OS X, и их число, по словам Уордля, множится. Обход XProtect оказался столь же прост, как и в случае с Gatekeeper. Исследователь перекомпилировал известного OSX-зловреда, изменив тем самым его хэш, и в итоге смог протащить заведомо опасную программу, минуя XProtect, и запустить ее на исполнение. Уордль нашел и другой, еще более легкий путь обхода: он просто изменил имя вредоносного файла, и тот успешно просочился за линию обороны.

В современные OS X встроена песочница. Эту реализацию Уордль высоко оценил, но отметил, что в самой операционной системе присутствует ряд известных уязвимостей уровня ядра, которые позволяют обойти и эту защиту. Несколько таких багов обнаружили и опубликовали участники Google Project Zero; для обхода песочницы, по словам Уордля, пригодна любая из этих брешей. «Положенная в основу песочницы технология сильна, но существует множество багов, с помощью которых ее можно обойти», – заключает эксперт.

Еще одним важным способом защиты OS X является использование цифровых подписей для программного кода, однако и это Уордль не считает серьезным препятствием. «В данном случае проверяется лишь наличие подписи, и если таковая не обнаружена, система не принимает никаких мер, и приложение без помех запускается на исполнение, – констатирует исследователь. – Можно убрать подпись из приложения, загрузчик все равно не имеет возможности воспрепятствовать его запуску».

В актуальных системах, начиная с OSX Mavericks, весь код режима ядра должен быть подписан. Однако, по свидетельству Уордля, механизм проверки на соответствие этому требованию далек от совершенства. «Проверка наличия подписи производится в режиме пользователя, что является грубым нарушением правил безопасности, – сетует эксперт. – Атакующий тоже может воспользоваться режимом пользователя. Он просто изменит расширение для кода ядра или загрузит неподписанное приложение».

В целом современная защита OS X не составляет большую проблему для злоумышленников, заключает Уордль. «Если бы «маки» были надежно защищены, – говорит он, – я бы не поднял этот вопрос здесь и сейчас. Обход защиты на Mac-компьютере под силу любому инициатору атаки».

Автор: Softodrom.ru
Дата:
» Оставьте первым свой комментарий

Новости > Новости НеWindows > Обход защиты OS X оказался весьма простым
Все рубрики статей:
Топ-сегодня: Новости НеWindows
Выпущена операционная система Tails 3.13
Tails — операционная система, созданная для обеспечения приватности и анонимности
Чем меньше Линукса – тем меньше проблем
Вначале присказка. Три дня и три ночи провёл линуксоид в бесплодных попытках заставить Linux понимать русские буковки. Но упорный пингвинятник в упор их не видел. В конце концов решил линуксоид позвонить своему знакомому, спросить совета у ещё более линуксанутого линуксоида. Тем более, что время было очень подходящее – 5 часов утра...
И снова Чертовски Маленький Линукс - теперь и в Окнах!
Если кто-то хочет посмотреть на Linux, не скачивая при этом сотни мегабайт - вот очень хороший шанс
На закупку смартфонов с российской ОС «Аврора» потратят 3,7 млрд руб
Смартфоны закупаются для госорганов, муниципальных организаций, бюджетных учреждений и компаний с госучастием
Касперский уйдет после выпуска операционной системы
Также мы можем на этой штуке поднимать виртуальную машину, на которой потом запускаются и разнообразные ОС Windows, и Linux
Новые статьи: Новости НеWindows
Выпущена операционная система Tails 3.13
Tails — операционная система, созданная для обеспечения приватности и анонимности
На закупку смартфонов с российской ОС «Аврора» потратят 3,7 млрд руб
Смартфоны закупаются для госорганов, муниципальных организаций, бюджетных учреждений и компаний с госучастием
«Лаборатория Касперского» разрабатывает мобильную операционную систему
«Лаборатория Касперского» разрабатывает защищенную мобильную операционную систему на базе KasperskyOS
Выпущено ядро Linux 5.0
Состоялся релиз новой версии ядра Linux, составляющего основу операционных систем семейства Linux
Выпущена операционная система Tails 3.12
Tails — операционная система, созданная для обеспечения приватности и анонимности

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».