Встроенные в операционную систему OS X механизмы защиты от вредоносного программного обеспечения можно легко обойти, утверждает эксперт по информационной безопасности Патрик Уордль. Уордль является бывшим сотрудником АНБ и НАСА и ныне руководит облачным стартапом Synack. О своих находках он рассказал в докладе на RSA Conference.
Операционная система OS X оснащена несколькими механизмами защиты от вредоносного программного обеспечения, основные из них — и . Первая ограничивает источники, из которых пользователь может загрузить и установить приложение. По умолчанию она настроена таким образом, что загрузить программу можно только из официального каталога Mac App Store, где все приложения проходят проверку на вирусы. Пользователь может настроить защиту так, чтобы можно было устанавливать приложения не только из Mac App Store, но и напрямую от разработчиков, а также из любых источников (если GateKeeper отключен).
Проблема в том, что GateKeeper проверяет подлинность только установочного пакета .dmg целиком, но не проверяет его содержимое. По словам Уордля, злоумышленник может взять подлинный установочный файл какого-либо разработчика и перепаковать его с вредоносными файлами динамических библиотек .dylib. А так как GateKeeper не проверяет файлы в пакете, вредоносное содержимое он не обнаружит.
В свою очередь, функция XProtect автоматически проверяет загруженные из интернета файлы, сравнивая их хэш-суммы с хэш-суммами из базы данных вредоносных приложений. Если перекомпилировать вредоносное приложение, то его хэш-сумма изменится, и XProtect не найдет в этом файле ничего подозрительного. Более того, вредоносное приложение достаточно просто переименовать, чтобы защита не сработала, цитирует эксперта .
По словам специалиста, легко обойти и другие технологии защиты в OS X — изолирование приложений и проверку цифровых подписей программ. Функцию изолирования приложений (Sandbox) можно обойти, используя известные уязвимости в ядре OS X. Некоторые из этих уязвимостей недавно в рамках проекта Project Zero опубликовала корпорация Google. Обход же проверки цифровых подписей — еще более простая задача. Достаточно убрать из приложения цифровую подпись, и система позволит выполнить программу, заявляет эксперт.
В целом задача обхода всех механизмов защиты в OS X не представляет особой сложности для хакеров, поэтому мнение о том, что операционная система Apple является более безопасной, чем Windows, несколько ошибочно, утверждает Уордль.
