Fat Binaries, Yeni macOS Güvenlik Açığının Anahtarı Tutabilir

Apple, Inc., C-Net

MacOS, güvenli bir Unix ortamı olarak çalıştığı için bir üne sahip olsa da, üçüncü taraf geliştiricilerin işletim sisteminin güvenlik hizmetlerini kandırmak için teorik olarak Apple'ın kod imzalama API'sini kullanabileceği görülüyor. Bu araçlar daha sonra gömülü kötü amaçlı kodun Apple tarafından imzalandığına ve dolayısıyla ne yaptığına bakılmaksızın çalıştırılmasının güvenli olduğuna yanlış bir şekilde inanabilir.

Kod imzalama, güvenilmeyen kodları ayıklamanın mükemmel bir yoludur, böylece bir sistemde çalışan tek işlemler, yürütülmesi güvenli olanlardır. Hem macOS hem de iOS, Mach-O ikili dosyalarını ve uygulama paketlerini onaylamak için imzalar kullanıyor, ancak hafta başlarında uzmanların bu sistemi baltalamanın bir yolunu bulduğu görülüyor.

Infosec araştırmacılarına göre, güvenlik ürünlerinin ezici bir çoğunluğu kriptografik imzaları doğrulamak için hatalı bir yöntem kullanıyor ve bu da Apple tarafından imzalanmış potansiyel olarak imzalanmamış kodu görmelerini sağlıyor.

Görünüşe göre Apple’ın kendi araçları API’leri doğru şekilde uyguladı. Güvenlik açığından yararlanma yöntemi bu nedenle biraz tuhaftır ve en azından kısmen yağlı ikili dosyaların nasıl çalıştığına dayanır.

Örneğin, bir güvenlik araştırmacısı Apple tarafından imzalanmış meşru bir programı birleştirdi ve bunu i386 olan ancak x86_64 serisi Macintosh bilgisayarlar için derlenmiş bir ikili programla karıştırdı.

Bu nedenle bir saldırganın temiz bir macOS kurulumundan meşru bir ikili dosya alması ve ardından ona bir şeyler eklemesi gerekir. Yeni ikili dosyadaki CPU türü satırı, daha sonra, ana bilgisayar yonga setine yerel değilmiş gibi görünmesi için garip ve geçersiz bir şeye ayarlanmalıdır, çünkü bu, çekirdeğe yasal kodu atlaması ve keyfi yürütmeye başlaması talimatını verecektir. Daha sonra eklenen süreçler.

Ancak Apple’ın kendi mühendisleri bu güvenlik açığını bu yazının yazıldığı tarih itibariyle bir tehdit olarak görmüyorlar. Kullanıcıların açıklardan yararlanmanın kurulumuna izin vermesi için sosyal mühendislik veya kimlik avı saldırısı yapılması gerekir. Bununla birlikte, bazı üçüncü taraf geliştiriciler ya yamalar yayınladılar ya da bunları yayınlamayı planlıyorlar.

Etkilenen herhangi bir güvenlik aracını kullanan kullanıcılar, gelecekteki sorunları önlemek için yamalar kullanılabilir hale gelir gelmez güncelleme yapmaya davet edilir, ancak bu istismarın bilinen bir kullanımı henüz ortaya çıkmamıştır.