Уязвимость в Apple Gatekeeper позволяет запускать вредоносные приложения на OS X

С момента появления в OS X компонента Apple Gatekeeper, призванного защитить пользователей от установки вредоносного или непроверенного ПО, исследователи безопасности пытались найти в нем уязвимости, позволяющие обойти усиленные меры защиты и установить на OS X-устройства вредоносное ПО. Как сообщает директор отдела исследований компании Synack Патрик Уордл (Patrick Wardle), ему удалось найти способ обхода Gatekeeper. Его метод под названием Apple dylib hijacking был представлен на конференции Virus Bulletin в Праге, Чехия.

Как известно, перед запуском приложения Apple Gatekeeper выполняет ряд проверок. Обычно Gatekeeper не позволяет запускать неподписанные приложения, а также программы, загруженные со сторонних источников вместо Mac App Store. Уордл утверждает, что при запуске не осуществляется проверка того, что приложение не запускает или загружает другие программы или библиотеки. Убедив жертву загрузить подписанную инфицированную программу со стороннего магазина приложений, злоумышленник может загрузить вредоносную библиотеку через незащищенное HTTP-соединение.

Уордл использовал специально сформированные библиотеки Apple и упаковал их в файл DMG, после чего убедил другого исследователя запустить его. Сразу после запуска DMG-файл искал вредоносный исполняемый файл и запускал его без ведома пользователя.

Исследователь заявил, что все без исключения версии OS X, включая OS X 10.11 El Capitan, уязвимы к данному методу атаки. Он уведомил Apple об обнаруженной уязвимости, и в настоящее время компания разрабатывает исправление.