Патрик Вордл, возглавляющий компанию Synack, в сентябре минувшего года рассказал о способе преодоления Gatekeeper – одного из ключевых компонентов защиты Mac OS X. В скором времени вышел патч от Apple, который должен был ликвидировать данную проблему. Но, как сообщил Патрик Вордл, специалисты Apple выбрали неправильный метод для исправления уязвимости, потому угроза до сих пор не устранена.
Осенью Вордл писал, что Gatekeeper осуществляет верификацию приложений статически, то есть в процессе их установки. Основными задачами Gatekeeper являются подтверждение того, что загрузка приложения действительно осуществлялась из App Store, а также проверка на наличие у программы доверенного цифрового сертификата. Приложения, которые были получены из неизвестных источников, Gatekeeper автоматически блокирует. Но по окончанию проверки комплекта приложения система больше не интересуется процессами, осуществляемыми данной программой. А она в свою очередь может производить запуск или загрузку из той же директории других программ, которые могут оказаться вредоносными. Однако Gatekeeper не обратит на это никакого внимания.
В доказательство своих слов Вордл привел в пример приложение Adobe Photoshop, подписанное известным разработчиком. Данная программа может загружать плагины, которые Gatekeeper проверять уже не будет. Следовательно, злоумышленник может спокойно внедрять в плагины вредоносный код.
Как утверждает Патрик Вордл, суть исправления проблемы, осуществленного Apple в рамках релиза Mac OS X El Capitan 10.11.1, на деле заключается в применении простого черного списка. Разработчики вместо создания полноценного патча решили использовать инструмент XProtect для слежки за подозрительными программами, которые предположительно могут воспользоваться уязвимостью в Gatekeeper. XProtect просто проводит сравнение всего с имеющимся черным списком.
Как отмечает руководитель Synack, в черный список попало небольшое количество файлов, вследствие чего уязвимость по-прежнему несет собой угрозу. По мнению Вордла, специалисты Apple вместо того, чтобы создавать короткий черный список, должны были разработать систему, которая бы занималась фиксацией случаев, когда злоумышленники пытаются воспользоваться доверенным приложением в преступных целях.
Эксперт пообещал, что расскажет о данной проблеме подробнее в ходе своего выступления на конференции ShmooCon, которая пройдет 17 января.