致命的简单攻击绕过Apple Gatekeeper安全,安装恶意应用
相关标签: # 漏洞# 恶意软件# 黑客# 补丁# 软件
帕特里克·沃德尔,证券公司研究总监西纳克,找到了一种非常简单的方法,完全绕过Mac OS X的核心安全功能之一,即看门人。
Gatekeeper于2012年7月推出,是苹果公司的反恶意软件功能,旨在防止不受信任的恶意应用程序对Mac造成严重破坏。
然而,沃德尔发现一种快速简单的欺骗守门员的方法允许恶意应用在Mac OS X机器上通过,即使保护设置为打开仅从Mac App Store下载的应用。
据研究人员称,在允许任何应用程序在OS X机器上执行之前,Gatekeeper会执行一些检查,例如:
- 检查下载应用的初始数字证书
- 确保应用程序已使用苹果认可的开发者证书签名
- 确保该应用来自官方应用商店
守门员的失败
然而守门员没有做到的是– 检查已被OS X信任的应用程序是否运行或从同一文件夹加载其他文件。
这意味着一旦网守批准了一个应用程序,它就不再关注该应用程序的功能。经批准的应用程序可以执行一个或多个恶意文件,然后安装各种恶意程序,包括:
- 密码记录器
- 捕获音频和视频的恶意应用
- 僵尸网络软件
- and many more…
这个概念验证利用沃德尔开发的软件也有同样的功能。
如何在OSX中绕过网守?
沃德尔所做的就是:
- 已识别已签名的二进制文件(二进制A)它运行一个单独的应用程序(二进制B)位于同一文件夹中
- 改名二进制A
- 换掉了合法的二进制B带着一个恶意的
- 然后将恶意文件捆绑到同一文件夹中的同一文件名下,二进制B
现在二进制B无需数字证书或Apple developer证书即可运行,因此它可以用来安装攻击者想要的任何东西,完全绕过Gatekeeper。
同样的攻击也适用于插件
沃德尔说,一种类似的绕过守门员的方法也适用与插件一起工作.攻击者只需执行以下操作:
- 查找加载插件的应用程序
- 用你的恶意软件替换其中一个插件
- 同样,Gatekeeper将检查第一个安装程序应用,不会警告用户恶意插件。
沃德尔的功绩在约塞米蒂,以及所有版本,包括El Capitan,即将发布。
沃德尔说,他在最近的一次试验中测试了他的利用El Capitan的测试版– 最近发布给开发者–;他仍然能够绕过守门员。
这位研究人员在60多天前私下向苹果公司通报了网关守卫漏洞,苹果公司正在研发一款补丁,将尽快交付给用户。
"如果我能找到它,你必须假设黑客团体或更复杂的民族国家也发现了类似的弱点,沃德尔告诉记者。我敢肯定,还有其他苹果签署的应用程序“也可以被滥用,绕过守门员”。
沃德尔将于周四在捷克共和国布拉格举行的病毒通报会议上介绍他的研究结果。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
