Tutkijat löysivät helpon tavan kiertää Applen Gatekeeperin turvatarkastukset haittaohjelmien asentamiseksi

Applen OS X -käyttöjärjestelmiä on suojellut Gatekeeperiksi kutsuttu ominaisuus jo vuoden 2012 Lion-versiosta lähtien. Gatekeeper varmistaa asennustiedostojen aitouden tiedoston allekirjoituksesta ja antaa mahdollisuuden valita, mistä lähteistä ladatut ohjelmat voidaan ylipäätänsä asentaa.

Synackin tutkijat ovat löytäneet erittäin yksinkertaisen tavan kiertää Gatekeeper ja sen suojatoiminnot täysin. Kun Gatekeeper huomaa että käynnistetty tiedosto on luotettava, se ei välitä enää mistään mitä ohjelma tekee. Synackin keksimässä hyökkäyksessä se antaa mahdollisuuden asentaa Maciin mikä tahansa ohjelma, haittaohjelmat mukaanlukien. Onni onnettomuudessa on, että Gatekeeperin kierron tiedetään onnistuvan tällä hetkellä vain yhdellä vapaasti saatavana olevalla, Applen allekirjoittamalla asennustiedostolla. Synackin Patrick Wardle kuitenkin epäilee, että myös muita vastaavia tiedostoja olisi olemassa, ja koska tiedosto on Applen itsensä allekirjoittama, tiukinkin Gatekeeper-asetus päästää sen läpi.

Ars Technica antaa sivuillaan käytännön esimerkin kierron toiminnasta, mutta Applen pyynnöstä siitä ja Synackin omasta raportista on jätetty tiedoston nimet pois. Hyökkäyksessä Tiedosto 1 nimetään uudelleen ja pakataan Apple Disk Image -tiedostoon, jonka käyttöjärjestelmä näkee kansiona. Tiedosto 1 pääsee läpi Gatekeeperin turvatarkastuksesta, ja kuten normaalistikin, se hakee samasta kansiosta Tiedostoa 2. Hyökkäys onnistuu, kun Tiedosto 2 vaihdetaan saman nimiseen, mutta haittaohjelman sisältävään tiedostoon. Tiedosto 1 suorittaa Tiedosto 2:n eikä Gatekeeper tarkista sen aitoutta.

Ars Technica, Drop-dead simple exploit completely bypasses Mac’s malware Gatekeeper