Apple、Inc.、C-Net
macOSは安全なUnix環境として機能するという評判がありますが、サードパーティの開発者は理論的にはAppleのコード署名APIを使用してオペレーティングシステムのセキュリティサービスをだますことができるようです。これらのツールは、埋め込まれた悪意のあるコードがAppleによって署名されたものであると誤って信じている可能性があるため、その機能に関係なく安全に実行できます。
コード署名は、信頼できないコードを取り除くための優れた方法であり、システムで実行されているプロセスは安全に実行できるプロセスだけです。 macOSとiOSはどちらも、署名を使用してMach-Oバイナリとアプリケーションバンドルを認証していますが、週の初めに専門家がこのシステムを弱体化させる方法を見つけたようです。
infosecの研究者によると、圧倒的多数のセキュリティ製品は、暗号署名を検証するための誤った方法を使用しているため、Appleによって署名された署名されていない可能性のあるコードが表示されます。
ただし、Apple独自のツールはAPIを適切に実装しているようです。したがって、この脆弱性を悪用する方法は少し奇妙であり、少なくとも部分的にはファットバイナリの動作に依存しています。
たとえば、あるセキュリティ研究者は、Appleによって署名された正規のプログラムを組み合わせ、i386でコンパイルされたがx86_64シリーズのMacintoshコンピュータ用のバイナリと混合しました。
したがって、攻撃者は、クリーンなmacOSインストールから正当なバイナリを取得し、それに何かを追加する必要があります。新しいバイナリのCPUタイプの行は、ホストチップセットにネイティブではないように見せるために、奇妙で無効なものに設定する必要があります。これにより、カーネルは正当なコードをスキップして任意の実行を開始するように指示されます。後で追加されるプロセス。
ただし、Appleのエンジニアは、この記事の執筆時点では、この脆弱性をそれほど脅威とは見なしていません。ユーザーにエクスプロイトのインストールを許可させるには、ソーシャルエンジニアリングまたはフィッシング攻撃が必要になります。それにもかかわらず、多くのサードパーティ開発者がパッチを発行しているか、発行する予定です。
影響を受けるセキュリティツールを使用しているユーザーは、将来の問題を防ぐために、パッチが利用可能になり次第更新することをお勧めしますが、このエクスプロイトの既知の使用法はまだ発生していません。
タグ アップルのセキュリティ マックOS
