Gatekeeper apareción en los sistemas de Apple en el año 2012. La herramienta proporciona un método de protección contra las amenazas añadiendo varias capas de seguridad durante la instalación de aplicaciones en nuestro sistema OS X. Gatekeeper está diseñado para asegurar que las aplicaciones que los usuarios instalan son legítimas y están firmadas por un desarrollador registrado, minimizando la amenaza de malware. Un investigador de seguridad ha descubierto un método simple de evadir o bypassear a Gatekeeper utilizando un archivo binario de la confianza de Apple para atacar el equipo.
Gatekeeper se encuentra diseñado solamente para comprobar el certificao digital inicial cuando una aplicación se descarga en un equipo, lo cual garantiza que dicha aplicación ha sido firmada por un desarrollador autorizado por Apple o por lo menos viene de la Mac App Store. Si la aplicación es válida Gatekeeper chequea con un OK y deja lanzar la aplicación. El investigador Patrick Wardle ya comentó este hecho en su charla sobre Bad@ss malware indicando que Gatekeeper no monitoriza lo que hace la aplicación, o en otras palabras, si se ejecuta otro contenido desde el mismo directorio, por lo que Gatekeeper no examina archivos.
Figura 1: Esquema de bypass de Gatekeeper |
Incluso cuando Gatekeeper ha sido configurado con el nivel más alto de la configuración de seguridad, el nuevo exploit puede aprovecharse de la vulnerabilidad. Una vez que el archivo de confianza se abre paso más allá de la aprobación de Gatekeeper, entonces se puede ejecutar cualquier otro programa malicioso adjunto con el resto de la instalación.
El investigador que descubrió el exploit envió la noticia a Apple hace unos 60 días y cree que están trabajando en la manera de arreglar el problema. Desde Apple han confirmado que están trabajando en el parche para arreglar la debilidad. Patrick Wardle planea presentar esta investigación sobre Gatekeeper en un evento cercano que se celebrará en la ciudad de Praga.
No hay comentarios:
Publicar un comentario