ハッカーは Mac の Malware Gatekeeper ツールを新たなエクスプロイトで悪用し、悪意のあるアプリをインストールする可能性があります
2012 年に Apple は門番Mac OS X デスクトップ オペレーティング システムへの追加のセキュリティ層として。この機能は、最も上級のユーザーであっても、誤って悪意のあるソフトウェアをコンピュータにインストールしないように設計されています。 Gatekeeper は、Mac にインストールされているアプリケーションのデジタル証明書をチェックして、承認された開発者によって署名されていること、またはダウンロードが Apple App Store から直接行われていることを確認します。
しかし、Gatekeeper を使用すると、ハッカーが有名な Mac セキュリティを完全にバイパスして、Mac にマルウェアを忍び込ませることができることが判明しました。サイバー攻撃者は、特別に作成されたエクスプロイトを使用して、たとえ App Store からダウンロードされたもののみを開くように設定されている悪意のある Mac アプリを開くことができます。
このエクスプロイトは、セキュリティ企業 Synack の研究ディレクター、Patrick Wardle によって発見されました。 Wardle 氏は、攻撃者が Apple によってすでに信頼されているバイナリ ファイルを使用して悪意のあるファイルを実行できるようになる、Gatekeeper の重要な設計上の欠陥によってこのエクスプロイトが可能になったことを発見しました。
Wardle 氏は、すでに Apple によって署名された、広く入手可能なバイナリを発見しました。このバイナリは、実行時に同じフォルダにある別のアプリを実行します。セキュリティ上の懸念から、ファイル名は公開されていません。したがって、これらをバイナリ 1 およびバイナリ 2 と呼びます。
Gatekeeper ハッキング エクスプロイトが行うことは単純で、Binary 1 の名前を変更し、それを Apple ディスク イメージ内にパッケージ化します。名前が変更されたバイナリ 1 は Apple 自体によってすでに署名されているため、Gatekeeper によってすぐに承認され、OS X によって実行されます。
コア OS にアクセスした後、バイナリ 1 は同じフォルダ内にあるバイナリ 2 を検索します。この場合、バイナリ 2 はダウンロードされたディスク イメージです。 Gatekeeper はエンド ユーザーがクリックした元のファイルのみをチェックするため、Wardle のエクスプロイトは正規のバイナリ 2 を悪意のあるバイナリ 2 に置き換え、同じファイル名で同じディスク イメージにバンドルします。 Binary 2 は実行にデジタル証明書を必要としないため、攻撃者が望むものは何でもインストールできます。
同様の方法は、Gatekeeper をバイパスできるプラグイン (Photoshop アドオンなど) でも機能します。プラグインをロードするアプリを見つけ、それらのプラグインの 1 つをマルウェアに置き換えると、やはり Gatekeeper は注意を払いません。
これらのバンドル ファイルは、パスワード ロガー、音声やビデオをキャプチャできるアプリ、ボットネット ソフトウェアなど、さまざまな種類のマルウェアをインストールする可能性があります。
Gatekeeper ハッキングエクスプロイトは、El Capitan や Yosemite を含むすべての Mac OS X バージョンで動作します。ワードル氏は、エル キャプテンのベータ版でエクスプロイトをテストすることに成功したと述べました。
セキュリティとプライバシーについて、Patrick Wardle 氏は次のように述べて適切な指摘をしました。
「私がそれを見つけることができれば、ハッカーのグループか、より洗練された国家が同様の弱点を発見したと考えざるを得ません。他にも、Gatekeeper をバイパスするために悪用できる Apple 署名アプリが存在すると思います。」
Wardle 氏は、この脆弱性は 60 日前に報告されており、木曜日にプラハで開催される Virus Bulletin International Conference で調査結果を発表する予定だと述べています。一方、Apple はこの欠陥を認識しており、根本的な原因を修正するためのパッチに取り組んでいます。修正がいつ提供されるかは明らかではありませんが、それまでの唯一のアドバイスは、信頼できるソースからのみアプリを入手することです。
