Apple, Inc., C-Net
Während macOS den Ruf hat, als sichere Unix-Umgebung zu fungieren, könnten Entwickler von Drittanbietern theoretisch die Codesignatur-API von Apple verwenden, um die Sicherheitsdienste des Betriebssystems auszutricksen. Diese Tools glauben dann möglicherweise fälschlicherweise, dass eingebetteter Schadcode von Apple signiert wurde und daher unabhängig von seiner Funktion sicher ausgeführt werden kann.
Das Signieren von Code ist eine hervorragende Möglichkeit, nicht vertrauenswürdigen Code auszusondern, sodass auf einem System nur Prozesse ausgeführt werden, die sicher ausgeführt werden können. Sowohl macOS als auch iOS verwenden Signaturen, um Mach-O-Binärdateien sowie Anwendungspakete zu zertifizieren. Es scheint jedoch, dass Experten Anfang der Woche einen Weg gefunden haben, dieses System zu untergraben.
Laut Infosec-Forschern verwendet eine überwiegende Mehrheit der Sicherheitsprodukte eine fehlerhafte Methode zur Überprüfung kryptografischer Signaturen, sodass sie potenziell nicht signierten Code als von Apple signiert anzeigen.
Es scheint jedoch, dass Apples eigene Tools die APIs ordnungsgemäß implementiert haben. Die Methode zum Ausnutzen der Sicherheitsanfälligkeit ist daher etwas seltsam und hängt zumindest teilweise davon ab, wie fette Binärdateien funktionieren.
Beispielsweise kombinierte ein Sicherheitsforscher ein von Apple signiertes legitimes Programm und mischte es mit einer Binärdatei, die i386-kompiliert wurde, jedoch für Macintosh-Computer der x86_64-Serie.
Ein Angreifer müsste daher eine legitime Binärdatei aus einer sauberen macOS-Installation entnehmen und dann etwas hinzufügen. Die CPU-Typzeile in der neuen Binärdatei muss dann auf etwas Seltsames und Ungültiges gesetzt werden, damit es so aussieht, als wäre es nicht für den Host-Chipsatz nativ, da dies den Kernel anweist, den legitimen Code zu überspringen und mit der Ausführung willkürlich zu beginnen Prozesse, die später hinzugefügt werden.
Apples eigene Ingenieure sehen die Sicherheitsanfälligkeit jedoch zum Zeitpunkt dieses Schreibens nicht als Bedrohung an. Es würde einen Social Engineering- oder Phishing-Angriff erfordern, um Benutzer dazu zu bringen, die Installation eines Exploits zuzulassen. Dennoch haben einige Entwickler von Drittanbietern entweder Patches veröffentlicht oder planen, diese zu veröffentlichen.
Benutzer, die betroffene Sicherheitstools verwenden, werden aufgefordert, diese zu aktualisieren, sobald Patches verfügbar sind, um zukünftige Probleme zu vermeiden. Eine bekannte Verwendung dieses Exploits ist jedoch noch nicht bekannt.
Stichworte Apple-Sicherheit macOS
