人们普遍认为苹果Mac电脑比Windows电脑更安全,在防止病毒和恶意软件入侵方面也更具优势,但是研究人员最近发现的新的利用证明这一观点其实是错误的。
去年,黑客新闻报道了一个非常简单的利用,它可以完全绕过Mac OS X的一个被称为Gatekeeper的核心安全特性。
苹果在11月发布了一个补丁,但是最初发现Gatekeeper绕过漏洞的安全研究人员说,他也同样发现了一个显而易见的解决方案。
NSA前职员、安全情报公司Synack的研究主管帕特里克·瓦尔德说,苹果发布的安全补丁 “相当不牢固”,更新在几分钟内就可以被“轻松绕过”。
Gatekeeper再次失效
Gatekeeper是苹果的一种反恶意软件的功能,于2012年7月被推出,旨在阻止不可信的、存在问题的应用程序的运行,使Mac OS X系统免受恶意软件的影响。
然而瓦尔德说,现实情况略有不同。黑客可以在Mac电脑上安装恶意软件,甚至在Gatekeeper被设置成最高限制的情况下也是一样。
瓦尔德在一篇博客文章中写道:“即使在打了补丁的10.11.2版本的 OS X系统上,Gatekeeper也可以被轻松绕过。”
9月,瓦尔德意识到,在允许任何一个应用程序在一台OS X设备上执行之前,Gatekeeper都会先进行一系列的检查,例如:
•检查下载的应用程序的初始数字证书
•确保应用程序已经签署了一个经过苹果认证的开发者证书
•确保应用程序来源于苹果官方应用商店
但是Gatekeeper没有检查的是:已经得到OS X信任的应用程序是否运行或加载了相同的文件夹中的其他文件。
然而在一个安全补丁中,苹果所做的一切只是将瓦尔德用于绕过Gatekeeper的软件列入黑名单,而不是从根本上解决问题。
如何绕过OS X里的Gatekeeper?
列入黑名单不是有效的防止攻击的方法。瓦尔德发现了一个新的苹果签名文件,这份文件允许他做同样的事情。值得一提的是, 文件的提供者是知名的反病毒公司卡巴斯基实验室。
瓦尔德所做的是:
•确定一个已签名的运行着一个单独的应用程序(二进制B)的二进制文件(二进制A),这个文件位于相同的文件夹中。
•为二进制A更名
•用恶意的二进制B替换原本合法的那一个。
•在同一个文件夹里用相同的文件名——二进制B捆绑恶意文件。
现在, 二进制B不再需要通过数字证书或苹果开发者证书来运行了,它已经完全绕过了Gatekeeper,可以用来安装任何攻击者想要安装的东西。
瓦尔德向苹果展示了他最新的发现,该公司在随后推出了一个更新来阻止瓦尔德私下传过来的这个新文件的运行,但这也不是一个正确的方法。苹果应该想出一个更全面的解决方案来解决这个问题。
如何保护自己?
与此同时,瓦尔德建议Mac用户只从Mac 软件商店里下载软件,在网上下载应用时需要更加谨慎。
瓦尔德将会在这个周末于华盛顿的Shmoocon会议中展示自己的研究成果。他还在周五为Gatekeeper发布了一个补充的工具, 这个免费工具被称为Ostiarius,用于检查所有文件的执行,并阻止来自于网络的不可信的、未签名的代码。
另外,是时候该炒了这个Gatekeeper(守门员),雇佣一个新的了。
发表评论
您还未登录,请先登录。
登录