MacOS Big Sur 11.3 został wydany razem z iOS 14.5. Aktualizacja przynosi sporo zmian, ale najważniejszą jest poprawka bezpieczeństwa. W poprzedniej wersji macOS system zabezpieczeń Gatekeeper nie ogarniał, że szkodliwy program może nie wyglądać jak program.
System macOS nie jest popularnym celem ataków, ale nie oznacza to, że cyberprzestępcy go omijają. Przeciwnie – od kilku lat powolutku rośnie ilość malware, infekujących system Apple. Apple z tym walczy, dodając kolejne warstwy zabezpieczeń, ale nie ma zabezpieczeń idealnych… zwłaszcza jeśli tworzą je programiści naiwni. Wraz z wydaniem macOS 11.3 ujawniona została poważna luka, która pozwalała zainfekować system szkodliwym programem bez żadnego ostrzeżenia.
Błąd został odkryty w połowie marca przez analityka Cerdica Owensa. Nie był to błąd w samym Gatekeeperze, ale w logice systemu. Zadaniem Gatekeepera jest blokowanie uruchomienia aplikacji bez certyfikatu dewelopera i automatyczna kontrola, a także ostrzeganie przed uruchamianiem rzeczy pobranych z internetu. Można jednak uśpić czujność tego modułu. Okazało się to zaskakująco łatwe. Nawet sam Owens miał problem, by uwierzyć w swoje odkrycie. Jakoś mu się nie dziwię.
Ktoś w Apple naiwnie założył, że aplikacje zawsze spełniają pewne kryteria. To zupełnie jakby zakładał, że złodziej nigdy nie przebierze się za hydraulika. Analityk odkrył, że jeśli spreparuje skrypt bez typowych dla aplikacji metadanych (pliku Info.plst), który będzie wywoływał inne programy, Gatekeeper się nie zorientuje. Wpuści majstra, pozwoli się okraść i jeszcze zapłaci za naprawę. macOS nawet nie pytał, czy na pewno uruchomić skrypt pobrany z internetu. Po prostu uznał, że to nie jest program (poniekąd słusznie) i nie ma żadnego zagrożenia (niesłusznie).
Zobacz: iOS 14.5: Apple wyjaśnia, o co chodzi z blokowaniem śledzenia
Zobacz: iOS 14.5 już jest. W samą porę na premierę Apple AirTags
Błąd został natychmiast zgłoszony firmie Apple, ale było już za późno. Konsultacja z producentem antywirusa Protect wykazała, że przykładowy skrypt Owensa jest wykrywany jako znany malware. Ten mechanizm ataku wykorzystują programy typu adware, należące do rodziny Shlayer. To znaczy, że cyberprzestępcy wiedzieli o błędzie logicznym systemu macOS. Jak długo? Trudno powiedzieć, ale grupa rozwijająca Shlayera nie pierwszy raz znalazła sposób, by prześlizgnąć się pod nosem Gatekeepera.
macOS Big Sur 11.3 poprawia logikę, a także dodaje regułę do systemu XProtect. Dzięki temu system monitorowania systemu będzie wykrywał także próby wykorzystania luki, mimo że nie stanowi ona już zagrożenia. Zalecamy szybką aktualizację.
Źródło zdjęć: Apple
Źródło tekstu: Apple, Patrick Wardle, Wired
