Fat Binaries kunne holde nøglen til ny macOS-sårbarhed

Apple, Inc., C-Net

Mens macOS har ry for at fungere som et sikkert Unix-miljø, ser det ud til, at tredjepartsudviklere teoretisk kunne bruge Apples kodesignerings-API til at narre operativsystemets sikkerhedstjenester. Disse værktøjer kan derefter fejlagtigt tro, at indlejret ondsindet kode blev underskrevet af Apple og derfor er sikker at køre, uanset hvad den gør.

Kodesignering er en glimrende måde at udrydde ikke-betroet kode på, så de eneste processer, der kører på et system, er dem, der er sikre at udføre. Både macOS og iOS bruger signaturer til at certificere Mach-O-binære filer samt applikationsbundter, men det ser ud til, at eksperter tidligere på ugen fandt en måde at underminere dette system på.

Ifølge infosec-forskere bruger et overvældende flertal af sikkerhedsprodukter en defekt metode til verifikation af kryptografiske signaturer, som får dem til at se potentielt usigneret kode som underskrevet af Apple.

Det ser ud til, at Apples egne værktøjer har implementeret API'erne korrekt. Metoden til at udnytte sårbarheden er derfor lidt underlig og afhænger i det mindste delvist af, hvordan fede binære filer fungerer.

For eksempel kombinerede en sikkerhedsforsker et legitimt program underskrevet af Apple og blandede det med en binær, der blev kompileret i386, men til Macintosh-computere i x86_64-serien.

En angriber bliver derfor nødt til at tage en legitim binær fra en ren macOS-installation og derefter tilføje noget til det. CPU-typelinjen i den nye binære skal derefter indstilles til noget underligt og ugyldigt for at få det til at se ud som om det ikke er hjemmehørende i værtschipsættet, da dette vil instruere kernen om at springe over den legitime kode og begynde at udføre vilkårlig processer, der tilføjes senere på linjen.

Apples egne ingeniører ser imidlertid ikke sårbarheden så meget som en trussel som i skrivende stund. Det ville kræve et social engineering eller phishing-angreb for at få brugerne til at tillade installation af en udnyttelse. Ikke desto mindre har en række tredjepartsudviklere enten udstedt programrettelser eller planlægger at udstede dem.

Brugere, der bruger berørte sikkerhedsværktøjer, opfordres til at opdatere, så snart patches bliver tilgængelige for at forhindre fremtidige problemer, selvom der endnu ikke er opstået nogen kendt brug af denne udnyttelse.