Ранее компания Apple сообщала, что функция Gatekeeper надежно защищает связку ключей от эксплойта, найденного Патриком Уордлом (Patrick Wardle). Но, как выяснилось, это все же не стопроцентно надежное решение.

Напомним, что связка ключей Apple представляет собой зашифрованный контейнер данных, где хранятся системные пароли, учетные данные для доступа к веб-сервисам и приложениям, а иногда и другие конфиденциальные сведения — например, реквизиты и PIN-коды банковских карт.

Многие эксперты, Уордл в том числе, отметили, что, хотя функция Gatekeeper уверенно предотвращает выполнение неподписанного кода на системах с macOS, она никак не отреагирует на выполнение программы, подписанной настоящим сертификатом разработчика Apple. Такой зловред вполне может выкрасть пароли из связки ключей.

Ранее в этом месяце Уордл, ведущий специалист по безопасности компании Synack и бывший аналитик АНБ, в частном порядке сообщил Apple о найденной им уязвимости. В комментарии для Threatpost компания Apple упомянула, что неподписанные приложения спровоцируют предупреждение Gatekeeper — встроенной функции безопасности в macOS, которая проверяет наличие подписи перед локальным выполнением приложений.

В демонстрационной атаке Уордла подписи действительно не было, но злоумышленники все чаще находят способы добавить в App Store вредоносные приложения, подписанные действующими сертификатами. В этом случае искушенный злоумышленник может закрепиться на целевом компьютере Mac и осуществить атаку второго уровня, перед которой Gatekeeper будет бессилен.

«Конечно, это весьма жесткие начальные условия: провести атаку можно только на уже зараженной системе, — прокомментировал Уордл. — Поле деятельности чрезвычайно сужается. Вероятно, именно поэтому Apple предпочла не рассматривать вторичные атаки, а закрыть брешь функцией Gatekeeper. Не могу согласиться с таким подходом, хотя мне нравится, что Apple поощряет пользователей скачивать приложения из надежных источников и применять надежные меры безопасности. К сожалению, иногда взламывают даже легитимные приложения и веб-сайты (Handbrake, Transmission). Если вредоносные подписанные приложения скрываются на добросовестных веб-сайтах, пользователь будет перед ними беззащитен».

Уордл призвал разработчиков Apple добавить дополнительные средства защиты, блокирующие содержимое связки ключей даже в тех случаях, когда к нему получили доступ.

«Никто не застрахован от взлома: вас могут хакнуть через рекламную программу или подписанный зловред под Mac. Под угрозой даже правительственные системы с передовыми средствами защиты, — отметил Уордл. — Вопрос в том, что может сделать злоумышленник, когда он уже внутри. Apple встраивает в операционную систему множество вторичных мер безопасности (защита целостности системы или безопасная загрузка расширений ядра [SKEL]), чтобы ограничить возможности вредоносного кода. Мой подход основан именно на преодолении этой внутренней линии обороны».

В частности, связки ключей Apple окружены целым рядом средств контроля доступа, чтобы исключить программное получение сохраненных данных приложениями или кодом. По словам Уордла, даже подписанные приложения и утилиты, подающие запросы к связке ключей, должны предоставить пароль пользователя или запросить у него разрешение. Однако найденный Уордлом эксплойт позволяет обойти эти требования.

Уордл не раскрыл никаких подробностей об уязвимости, однако сообщил, что она эффективна против версии High Sierra, выпущенной на этой неделе, а также macOS Sierra и, вероятно, El Capitan, хотя на этой версии эксплойт еще не проверялся.

Категории: Уязвимости