Apple не исправила уязвимость Mac, обнаруженную в октябре прошлого года исследователем компании Synack Патриком Уордлом. Патч для OS X не закрывает брешь, а всего лишь блокирует конкретные приложения, которые пытаются обойти защиту Gatekeeper.
Настольная платформа OS X оснащена несколькими механизмами защиты от вредоносного программного обеспечения, GateKeeper – один из них. Он ограничивает источники, из которых пользователь может загрузить и установить приложение. По умолчанию она настроена таким образом, что загрузить программу можно только из официального каталога Mac App Store, где все приложения проходят проверку на вирусы. Пользователь может настроить защиту так, чтобы можно было устанавливать приложения не только из Mac App Store, но и напрямую от разработчиков, а также из любых источников (если GateKeeper отключен).
Уордл нашел способ обхода Gatekeeper. Он использовал специально сформированные библиотеки Apple и упаковал их в файл DMG, после чего убедил другого исследователя запустить его. Сразу после запуска DMG-файл искал вредоносный исполняемый файл и запускал его без ведома пользователя.
Вскоре после сообщения об уязвимости Apple выпустила новую версию OS X El Capitan 10.11.1 с исправлением проблемы. Однако обновление не устраняет ошибку, а всего лишь блокирует конкретные приложения, пытающиеся обойти защиту Gatekeeper, выяснил Уордл.
Gatekeeper верифицирует программы непосредственно при установке. Основной задачей функции является проверка подлинности загрузки из App Store и наличия цифровой подписи доверенного сертификата. После проверки загружаемых программ, однако, система не интересуется дальнейшей деятельностью приложений. Как пояснил Уордл, злоумышленник может использовать вредоносное ПО, не проявляющее никакой активности во время проверки Gatekeeper, а затем активирующее вредоносный код.
Эксперт проиллюстрировал теорию на примере приложения Adobe Photoshop, подписанного известным разработчиком. После проверки программа может загружать уже не инспектируемые Gatekeeper плагины. В свою очередь, последние могут содержать вредоносный код.
По мнению исследователя, вместо черного списка Apple следовало создать систему, фиксирующую случаи, когда доверенное приложение пытаются использовать в неблаговидных целях. В настоящее время Уордл совместно с командой безопасности Apple работает над исправлением проблемы.