Kolmandate osapoolte Maci turvatööriistad on olnud haavatavad alates 2007. aastast (!)

Isegi Apple’i maailmas on operatsioonisĂĽsteemi turvarikkumised tavalised; oluline on see, et need rikkumised saaksid kiiresti korda need, kes need põhjustasid.

Mida siis öelda Maci maailma viimastel aastatel kimbutanud haavatavuste kohta 11 (jah, üksteist) aastat ja alles nüüd avastati?

See on tõsi – ja kes sulle seda ĂĽtles Ars Technica.

RĂĽhm teadlasi on avastanud probleemi, mis mõjutab paljusid MacOS-i kolmandate osapoolte turvatööriistu, mis võimaldavad pahatahtlikel agentidel simuleerida Apple’i digitaalallkirju – tuleb lihtsalt märkida – ja mööda minna neist tööriistadest, lukustades need vabalt, installides end masinasse justkui need on Apple’i enda rakendused.

Tundub, et see nähtus on toimunud alates selle käivitamisest Mac OS X Leopard, aastal 2007!

Selles artiklis kirjeldatakse, kuidas haavatavus töötab:

See tehnika seisneb binaarse vormingu, tuntud ka kui Fat või universaalsed failid, kasutamises, mis sisaldab mitmeid faile, mis on kirjutatud erinevatele protsessoritele ja mida on Macis aastate jooksul kasutatud, näiteks i386, x86_64 või PPC.

Ainult esimesed pakendis olevad nn Mach-O-failid peavad olema Apple’i allkirjastatud.

Vähemalt kaheksa kolmanda osapoole tööriista tähistab muud allkirjastamata käivitatavat koodi, mis sisaldub samas paketis ja millele on alla kirjutanud Apple.

Mõni mõjutatud kolmanda osapoole tööriist on VirusTotal, Google Santa, Facebook OSQuery, Little Snitch tulemüür, Yep, OSXCollector, Carbon Black Response ja mitmesugused Objective-See tööriistad.

Paljud ettevõtted ja kasutajad loodavad selle tööriista rakendamisel lubatud nimekiri mis lubab arvutisse installida ainult heakskiidetud rakendusi, blokeerides ajutiselt kõik teised.

See tähendab, et teoreetiliselt – häkkeritel ja pahatahtlikel agentidel on nakatunud koodi ĂĽhe mõjutatud tööriista kaudu teie masinasse toimetada väga lihtne; linkige kood lihtsalt Apple’i allkirjastatud failiga ja see kõik käib põhimõtteliselt samal koogil.

On hea märkida, et viga ei olnud otseselt Apple’i vastutus, vaid arendaja, kes selle tööriista lõi, Apple’i API-d valesti kasutas ega näinud viimase kĂĽmne aasta jooksul ĂĽhtegi tĂĽhimikku.

Kuid mõned väidavad, et haavatavus tuleneb Apple’i väidetavast ebaefektiivsusest pakkuda arendajatele piisavat dokumentatsiooni oma API-de nõuetekohaseks rakendamiseks – vähemalt varem.

Nagu Object-See programmeerija Patrick Wardle ĂĽtles:

Selguse huvides pole see Apple’i koodi haavatavus ega viga.

Põhimõtteliselt on see lihtsalt ebamäärane või segane dokumentatsioon, mis paneb inimesi oma API-sid valesti kasutama.

Apple on ajakohastanud oma dokumentatsiooni, et asi oleks selgem ja arendajad peavad API-d kasutama ainult põhjalikuma lipuga (mis on alati saadaval).

Teisisõnu, praegusel hetkel pidid arendajad pikaealiste aukude katmiseks käed määrima, kuid on võimatu välistada haigusi, mida nad võivad viimase kümne aasta jooksul põhjustada, mille tegelikku kahju poleks kunagi vaja.

Meie, meie kasutajad, anname regulaarselt meeldetuletuse teie rakenduste ja tööriistade ajakohasena hoidmiseks ning nagu alati, ei tohi kunagi kahtlasi faile avada.

See pole ju nii raske?