感謝Gatekeeper:蘋果的Mac OS X一直對惡意軟件開放

人們普遍認為蘋果Mac電腦比Windows電腦更安全,在防止病毒和惡意軟件入侵方面也更具優勢,但是研究人員最近發現的新的利用證明這一觀點其實是錯誤的。

去年,黑客新聞報道了一個非常簡單的利用,它可以完全繞過Mac OS X的一個被稱為Gatekeeper的核心安全特性。

蘋果在11月發布了一個補丁,但是最初發現Gatekeeper繞過漏洞的安全研究人員說,他也同樣發現了一個顯而易見的解決方案。

NSA前職員、安全情報公司Synack的研究主管帕特里克·瓦爾德說，蘋果發布的安全補丁 “相當不牢固”,更新在幾分鐘內就可以被“輕松繞過”。

Gatekeeper再次失效

Gatekeeper是蘋果的一種反惡意軟件的功能，于2012年7月被推出，旨在阻止不可信的、存在問題的應用程序的運行,使Mac OS X系統免受惡意軟件的影響。

然而瓦爾德說，現實情況略有不同。黑客可以在Mac電腦上安裝惡意軟件,甚至在Gatekeeper被設置成最高限制的情況下也是一樣。

瓦爾德在一篇博客文章中寫道：“即使在打了補丁的10.11.2版本的 OS X系統上,Gatekeeper也可以被輕松繞過。”

9月,瓦爾德意識到，在允許任何一個應用程序在一臺OS X設備上執行之前，Gatekeeper都會先進行一系列的檢查,例如:

?檢查下載的應用程序的初始數字證書

?確保應用程序已經簽署了一個經過蘋果認證的開發者證書

?確保應用程序來源于蘋果官方應用商店

但是Gatekeeper沒有檢查的是：已經得到OS X信任的應用程序是否運行或加載了相同的文件夾中的其他文件。

然而在一個安全補丁中,蘋果所做的一切只是將瓦爾德用于繞過Gatekeeper的軟件列入黑名單,而不是從根本上解決問題。

如何繞過OS X里的Gatekeeper?

列入黑名單不是有效的防止攻擊的方法。瓦爾德發現了一個新的蘋果簽名文件,這份文件允許他做同樣的事情。值得一提的是, 文件的提供者是知名的反病毒公司卡巴斯基實驗室。

瓦爾德所做的是:

?確定一個已簽名的運行著一個單獨的應用程序(二進制B)的二進制文件(二進制A)，這個文件位于相同的文件夾中。

?為二進制A更名

?用惡意的二進制B替換原本合法的那一個。

?在同一個文件夾里用相同的文件名——二進制B捆綁惡意文件。

現在, 二進制B不再需要通過數字證書或蘋果開發者證書來運行了,它已經完全繞過了Gatekeeper，可以用來安裝任何攻擊者想要安裝的東西。

瓦爾德向蘋果展示了他最新的發現,該公司在隨后推出了一個更新來阻止瓦爾德私下傳過來的這個新文件的運行,但這也不是一個正確的方法。蘋果應該想出一個更全面的解決方案來解決這個問題。

如何保護自己?

與此同時,瓦爾德建議Mac用戶只從Mac 軟件商店里下載軟件,在網上下載應用時需要更加謹慎。

瓦爾德將會在這個周末于華盛頓的Shmoocon會議中展示自己的研究成果。他還在周五為Gatekeeper發布了一個補充的工具, 這個免費工具被稱為Ostiarius,用于檢查所有文件的執行，并阻止來自于網絡的不可信的、未簽名的代碼。

另外,是時候該炒了這個Gatekeeper（守門員）,雇傭一個新的了。