Hace unos meses hablamos en Seguridad Apple sobre el trabajo de Patrick Wardle, un investigador que destapó cómo hacer malware para OS X y cómo bypassear los mecanismos de protección de OS X. Entre estos mecanismos se encontraba Gatekeeper, el cual se debe encargar de que no ejecutemos nada malicioso, siempre y cuando su configuración sea la correcta. El trabajo de Wardle ayudó a muchos a ver que el malware existe para OS X y que les ponen las cosas fáciles, ya que los mecanismos de seguridad de OS X se pueden bypassear.
Gatekeeper se centra en evitar las ejecuciones de aplicaciones sin firmar o que no pueden ser verificadas. Aunque es cierto que Gatekeeper se puede deshabilitar indicando que podemos ejecutar cualquier aplicación en el sistema. Wardle ya informó de los agujeros de seguridad que encontró en Gatekeeper, los cuales podían permitir ejecutar malware.
Figura 1: Distintas percepciones. Mensaje de Apple vs Wardle |
Wardle ha afirmado que, aunque Apple ha intentado solventar el problema de Gatekeeper hasta en 2 ocasiones, la solución sigue teniendo grietas, las cuales pueden permitir a un usuario malicioso causar daños y tomar el control de un sistema Apple. Gatekeeper proporciona 3 opciones de seguridad al usuario: se permite ejecutar la aplicación si ésta proviene de la Mac App Store, se permite ejecutar la aplicación si proviene de de la Mac App Store y el desarrollador es identificado o se permite ejecutar la aplicación independientemente de dónde se ha conseguido. Wardle mostró en su investigación anterior como, incluso si se ha configurado el Mac con la opción de sólo ejecutar en el caso de que venga de la Mac App Store, se podía ejecutar un binario.
Figura 2: Opciones de Gatekeeper |
Las soluciones que Apple ha tomado van dirigidas a la prueba de concepto de Wardle. En otras palabras, han ido a los casos particulares y no a la cuestión completa. Wardle compartió la prueba de concepto con los ingenieros de Cupertino, y éstos han estado haciendo listas negras a binarios, por lo que parece. Como resultado, Wardle afirma que ha sido capaz de eludir la protección de Gatekeeper, incluso con los parches de seguridad instalados, tan sólo en cuestión de minutos. El investigador ha presentado sus nuevos resultados en Shmoocon en Washington D.C. Seguiremos atentos a próximas noticias sobre esto, ya que parece que el tira y afloja no ha finalizado.
No hay comentarios:
Publicar un comentario