Пользователи Mac: антивирусное программное обеспечение может быть упустили обеспечением незамеченным

Пользователи Mac: антивирусное программное обеспечение может быть упустили обеспечением незамеченным

RedGirl
Новости

Многие сторонние платформы безопасности не в состоянии надлежащим образом осуществлять подписание кода API от Apple, и результат может быть передавая себя вредоносные программы, как подписал программного обеспечения.

Подробнее о кибербезопасности

«Кодекс подписание обходных» был обнаружен на Окта инженер Джош Питтс, который первым обнаружил его в феврале 2018 года, прежде чем публично разглашать это на 12 июня, 2018. Она влияет на множество платформ безопасности, в том числе из Facebook и Google, и Apple не берет на себя ответственность, по крайней мере, не по тому, что Питтс заявил о своем ответе от производителя в MacOS.

Подписание код-это разработчик программного обеспечения компании или внедрение цифровой подписи в приложение, которое говорит, что он был построен им и не был изменен третьими лицами. Подписи кода гарантирует, что программное обеспечение приходит от авторитетных источников—большинство программного обеспечения использует подписания проверочный код, чтобы убедиться, приложение является законным, прежде чем разрешить его установку.

В случае нескольких MacOS и комплексов безопасности, Питтс сказал, подписи кода проверки используется неправильно, что может привести определенные исполняемые файлы предъявить действительный подписи для одной части приложения, в комплекте с кучей вредоносных модулей, что для обеспечения безопасности не удосужившись проверить.

Поддельные документы и ленивый хвастуны

Это как в баре колледж сцену снова и снова: студентов с поддельными документами знаю, что некоторые бары имеют хвастунов с менее тщательный осмотр схемы, а вот где у них голова, когда они хотят, чтобы проскользнуть незамеченным.

В случае безопасности для MacOS, будучи ленивым о проверки удостоверения может повлечь за собой целый набор вредоносных программ, проскальзывая незамеченным—возможно, что злоумышленник может включить в толстый файл может использоваться.

Питтс сказал, что использование для подписания кода проверяет, просто требует несколько вещей:

  • Толстый/универсальный файл в формате исполняемого файла, которое содержит в качестве своего первого элемента правильно подписана Маха-О’ файл, отформатированный для i386, x86_64 с, или PPC.
  • Вредоносные двоичные файлы, нерегламентированном подписан и i386, скомпилированных для систем x86_64 под управлением MacOS.
  • CPU_TYPE в Заголовок файла должен быть установлен недопустимый Формат, или тот, который не родной для чипсета целевой машины.

«Без принятия соответствующего SecRequirementRef и SecCSFlags, подписи кода и API (SecCodeCheckValidity) проверяет первые двоичные в жир/Универсальный файл для тех, кто подписан исполняемый файл (например, Яблоко) и убедитесь в отсутствии вскрытия через криптографическая подпись, то API будет проверять каждую из следующих двоичных файлов в FAT/Универсальный файл, чтобы команда идентификаторы совпадают и убедиться, никакого вмешательства с помощью содержащих криптографическую подпись, но без проверки Калифорния корень доверия,» Питтс сказал в своем посте.

См.: Краткое глоссарий: вредоносные программы (техник про исследования)

Форматирование определенные файлы в исполняемый жира необходимо, как i386 вызывает проблемы для подписания кода API, который «отдает предпочтение родной процессор архитектуре (x86_64) для подписания кода проверяет и будет по умолчанию проверка неподписанный код, если он имеет архитектуру x86_64.»

Короче, исполняемый файл, который умудряется делать все правильно, будет выглядеть должным образом подписан и иметь возможность запускать любые вредоносные программы содержит безнаказанно.

Это ответ компании Apple правильно?

После Питтс прошлого года компания Apple эксплуатировать, Apple сказала ему, что «сторонние разработчики должны использовать kSecCSCheckAllArchitectures и kSecCSStrictValidate с API SecStaticCodeCheckValidity», и что компания будет обновлять его разработчику документацию, чтобы отразить это требование.

Питтс ответил, сказав Apple, и обеспечивает доказательство концепции, что можно было обойти флаги и подписи кода строгую проверку, что позволяет эксплуатировать функционировать даже в случае, если застройщик включает эти флаги.

По данным Питтс, «Яблоко заявили, что они не видят в этом проблемы безопасности, которые они должны непосредственно решать,» еще раз говорю, что разработчики «должны сделать дополнительную работу, чтобы убедиться, что все личности в универсальном двоичном же, если они хотят представить значимый результат».

Питтс’ раскрытие хронология делает Яблоко не желает принимать на себя ответственность за эксплойт, а не перекладывание ответственности на разработчиков за неправильно используя его подписания кода API, но если эксплойт все еще может быть выполнена даже с яблоком рекомендуется флаги включены, это не представляется разработчику вопрос.

Сейчас есть не так много действий, чтобы отвести в сторону от рассмотрения статьи Питтса для антивирусного программного обеспечения. Если это так, убедитесь, что вы устанавливаете последние обновления, так что вы получите, когда это возможно, и избегайте установки приложений из любого места, но надежных источников, как магазин приложений для MacOS.

Большим открытием для лидеров технологий:

  • Недостатком стороннего программного обеспечения для MacOS обработка подписания кода позволяет вредоносные приложения, чтобы выдать себя должным образом подписан.
  • Apple утверждает, что проблема заключается в том, что третьи лица осуществляют свои API, но его предложения о том, как исправить проблему-не решить ее. Держите система MacOS безопасно, установив последние обновления антивирусных программ и не устанавливать приложения из ненадежных источников.
0
Авторизация
*
*

10 + два =

Регистрация
*
*
*
Пароль не введен
*

20 + семь =

Генерация пароля

1 × 3 =