keskiviikko 30. syyskuuta 2015

Applen Gatekeeper on huijattavissa

Applen Gatekeeper on huijattavissaApplen OS X käyttöjärjestelmää on pidetty varsin turvallisena sovelluskaupan ulkopuolistenkin ohjelmien asentamiseen ja ajamiseen integroidun Gatekeeper turvaominaisuuden ansiosta, Gatekeeper on kuitenkin mahdollista ohittaa.

Gatekeeperin tarkoitus on huolehtia periaatteessa siitä että ajettava ohjelma on se mikä se väittää olevansa ja juurikin siltä kehittäjältä jolta se väittää tulevansa, eikä mitään muuta.

Gatekeeper ei tarkista sovelluskaupan ulkopuolelta asennettuja tai ajettuja ohjelmia kuitenkaan kuten virustorjuntasovellukset vaan luottaa ohjelmien signeeraustietoihin jotka Apple tarjoaa sovelluskehittäjälle.

Gatekeeperin asetukset OS X:n suojaus ja yksityisyys asetuksissaJos signeerausta ei löydy Gatekeeper joko estää tai varoittaa käyttäjää ajamasta ohjelmaa.

Gatekeeperin ilmoitus signeerauksen puuttumisesta

Nyt kuitenkin eräs hakkeri on keksinyt kuinka Gatekeeperiä voi huijata luulemaan haitallista ohjelmaa ei haitalliseksi.

Periaatteessa haitallinenkaan ohjelma ei sellaisenaan vaikuta haitalliselta, signeeraus löytyy mutta Gatekeeperiä ei kiinnosta se mitä kirjastoja tai muita tiedostoja itse ohjelma tai tiedosto käynnistymisen/avaamisen jälkeen ajaa.

Periaatteessa Gatekeeperin pitäisi pystyä myös lukemaan kirjastojen ja muiden binääritiedostojen signeeraukset mutta sitä se ei tee, tämä mahdollistaa siten taas ns. vanhanaikaiset käyttäjätason huijaukset jossa käyttäjä huijataan hakemaan vaikkapa ilmainen virustorjuntasovellus.

Kun käyttäjä on asennuspaketin hakenut, voi siitä löytyä signeeraus mutta sen sisällöstä Gatekeeper ei välitä tuon taivaallista, siten signeeratun ohjelman kautta voidaan ajaa haitallista koodia käynnistämällä kirjasto tai vastaava jossa haittakoodia on.

Ensiksi hakkerin tarvitsee löytää ohjelma joka käynnistymisen jälkeen lataa omasta kotihakemistostaan löytyvän ajotiedoston, eli ohjelman jossa on erillinen käynnistyssovellus, tämän jälkeen hakkerin täytyy keksiä keino jolla käyttäjä saadaan asentamaan haitallista koodia olevat tiedostot (näyttävät samalta kuin alkuperäiset) ohjelman kotihakemistoon.

Tämän osan voi vaikkapa sanoa olevan tarpeellinen koska se tekee maksullisesta virustorjuntaohjelmasta ilmaisen, tämä tarjoillaan yksinkertaisena zip-tiedostona joka purkaa tiedostot automaattisesti alkuperäisen asennuspaketin tekemään hakemistoon.

Nyt kun käyttäjä käynnistää saamansa virustorjuntasovelluksen, saakin hän troijan tai muita haitallisia viruksia järjestelmäänsä, eikä Gatekeeper huomaa mitään koska se pitää käynnistysohjelmaa turvallisena, jota se onkin.

Hakkeri joka Gatekeeperin ongelman havaitsi, Patrick Wardle on ilmoittanut löydöstään Applelle ja saanut vastauksen jonka mukaan yhtiö olisi aloittanut tietoturvapäivityksen teon Gatekeeperille, joten päivitys on tulossa mutta tietoa ei ole siitä koska se valmistuu.

LÄHDE: Slashdot