Bezpečnostní pracovník Filippo Cavallarin zveřejnil na svém blogu varování před chybou v macOS 10.14.5. Ta spočívá v možnosti kompletně obejít bezpečnostní opatření Gatekeeperu. Cavallarin podle svých slov na chybu upozornil Apple již v únoru letošního roku, ani tak ji ale společnost v nejnovější aktualizaci neopravila.
Nástroj Gatekeeper vyvinul Apple a začlenil ho do svého desktopového operačního systému poprvé v roce 2012. Jedná se o mechanismus, který zabraňuje spuštění aplikace bez vědomí a souhlasu uživatele. Po stažení aplikace Gatekeeper automaticky zkontroluje její kód, aby zjistil, zda je software řádně podepsán Applem.
Cavallarin ve svém příspěvku na blogu uvádí, že Gatekeeper ve svém výchozím nastavení považuje externí úložiště i síťová sdílení za bezpečná umístění. Každá aplikace, která je v těchto cílech umístěná, může být tedy automaticky spuštěna, aniž by musela projít kontrolou Gatekeeperu. Právě této vlastnosti lze zneužít ke spuštění škodlivého softwaru bez vědomí uživatele.
Jedním z aspektů, umožňujících neoprávněný přístup, je funkce automont, která uživatelům umožňuje automaticky připojit síťové sdílení pouhým zadáním cesty, začínající výrazem „/net/“. Jako příklad uvádí Cavallarin cestu „ls /net/evil-attacker.com/sharedfolder/“, která může vést k tomu, že operační systém načte obsah složky „sharefolder“ ve vzdáleném umístění, které může být potenciálně škodlivé.
Způsob, jakým ohrožení funguje, můžete sledovat na videu:
Dalším faktorem je skutečnost, že pokud dojde k nasdílení archivu ve formátu zip, obsahujícího specifický symbolický odkaz, vedoucí ke spuštění funkce automont, neproběhne kontrola Gatekeeprem. Oběť tak může snadno stáhnout škodlivý archiv a rozbalit ho, čímž umožní útočníkovi spustit na Macu prakticky jakýkoliv software bez vědomí uživatele. Svůj podíl na této zranitelnosti má i Finder, který ve výchozím nastavení skrývá určitá rozšíření.
Cavallarin na svém blogu uvádí, že na zranitelnost operačního systému macOS upozornil Apple 22. února letošního roku. V polovině května ale Apple přestal s Cavallarinem komunikovat, proto se Cavallarin rozhodl celou věc zveřejnit.
Zdroj: FCVL