感谢Gatekeeper,苹果的Mac OS X仍然对恶意软件开放
相关标签:
去年,《黑客新闻》报道了一次致命的简单攻击,完全绕过了Mac OS X的核心安全功能之一,即看门人.
苹果公司在11月发布了一个补丁,但现在发现了最初的网关守卫绕过漏洞的同一位安全研究人员表示,他找到了一个同样明显的解决办法。
美国国家安全局前工作人员、安全情报公司Synack的研究负责人帕特里克·沃德尔(Patrick Wardle)表示,苹果发布的安全补丁是“安全的”非常虚弱“更新是”容易绕过“几分钟后。
守门员的失败又一次
Gatekeeper于2012年7月推出,是苹果公司的反恶意软件功能,旨在阻止不受信任的、不可靠的应用程序运行,确保Mac OS X系统免受恶意软件攻击。
然而,沃德尔表示,现实情况略有不同。黑客可以在Mac电脑上安装恶意软件,即使“网守”设置为最严格的设置。
“即使是在一个完全补丁的OS X 10.11.2系统上,也很难绕过网守。”我在博客上写道。“这样,黑客就可以(重新)启动特洛伊木马程序的发行版,而各州则可以从互联网上下载HTTP。”
9月,沃德尔意识到,在允许任何应用程序在OS X机器上执行之前,Gatekeeper会执行一些检查,例如:
- 检查下载应用的初始数字证书
- 确保应用程序已使用苹果认可的开发者证书签名
- 确保该应用来自官方应用商店
但是,守门员没有检查的是–;应用程序是否已被OS X信任,是否运行或从同一文件夹加载其他文件。
然而,在一个安全补丁的名义下,苹果所做的只是将沃德滥用的签名应用程序列入黑名单,以绕过网关守卫,而不是解决根本问题。
如何在OSX中绕过网守?
这并不能有效地防止攻击。沃德尔发现了一个新的苹果签名文件,让他也可以这么做。值得注意的是,该文件由流行的反病毒公司卡巴斯基实验室提供。
沃德尔所做的就是:
- 已识别已签名的二进制文件(二进制A)它运行一个单独的应用程序(二进制B)位于同一文件夹中
- 改名二进制A
- 换掉了合法的二进制B带着一个恶意的
- 然后将恶意文件捆绑到同一文件夹中的同一文件名下,二进制B
现在,二进制B不需要数字证书或Apple developer证书就可以运行,因此它可以用来安装攻击者想要的任何东西,完全绕过Gatekeeper。
沃德将他的最新发现通知了苹果公司,苹果公司推出了一个更新,阻止了沃德私下报告的新文件,这不是一个正确的方法。苹果应该拿出一个更全面的解决方案来解决这个问题。
如何保护自己?
与此同时,沃德建议Mac用户只从Mac应用商店下载软件,从互联网下载应用时要更加小心。
沃德尔将在会议上介绍他的发现在华盛顿特区举行的Shmoocon会议这个周末。周五,他还发布了一个补充工具,名为“守门员”奥斯蒂亚里乌斯,检查所有文件执行情况,并阻止来自Web的不受信任、未签名的代码。
或者,否则,可能是时候解雇守门员,并雇用一名新的守门员了。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
