Fat Binaries kan hålla nyckeln till ny sårbarhet i macOS

Apple, Inc., C-Net

Medan macOS har rykte om att fungera som en säker Unix-miljö, verkar det som om tredjepartsutvecklare teoretiskt sett skulle kunna använda Apples kodsignerings-API för att lura operativsystemets säkerhetstjänster. Dessa verktyg kan då felaktigt tro att inbäddad skadlig kod signerades av Apple och därför är säker att köra oavsett vad den gör.

Kodsignering är ett utmärkt sätt att rensa bort otillförlitlig kod så att de enda processerna som körs i ett system är de som är säkra att utföra. Både macOS och iOS använder signaturer för att certifiera Mach-O-binärer samt applikationspaket, men det verkar som om experter tidigare i veckan hittade ett sätt att undergräva detta system.

Enligt forskare från infosec använder en överväldigande majoritet av säkerhetsprodukter en felaktig metod för att verifiera kryptografiska signaturer, vilket gör att de ser potentiellt osignerad kod som signerad av Apple.

Apples egna verktyg verkar dock ha implementerat API: erna korrekt. Metoden för att utnyttja sårbarheten är därför lite udda och förlitar sig åtminstone delvis på hur fettbinarier fungerar.

Till exempel kombinerade en säkerhetsforskare ett legitimt program undertecknat av Apple och blandade det med en binär som sammanställdes i386 men för Macintosh-datorer i x86_64-serien.

En angripare måste därför ta en legitim binär från en ren macOS-installation och sedan lägga till något i den. CPU-typraden i den nya binären måste sedan ställas in på något konstigt och ogiltigt för att få det att se ut som om det inte är inbyggt i värdchipset eftersom detta kommer att instruera kärnan att hoppa över den legitima koden och börja köra godtyckligt processer som läggs till senare på raden.

Apples egna ingenjörer ser emellertid inte sårbarheten lika mycket som när detta skrivs. Det skulle kräva en socialteknisk eller nätfiskeattack för att få användarna att tillåta installation av en exploatering. Ändå har ett antal tredjepartsutvecklare antingen utfärdat patchar eller planerar att utfärda dem.

Användare som använder berörda säkerhetsverktyg uppmanas att uppdatera så snart korrigeringar blir tillgängliga för att förhindra framtida problem, men ingen känd användning av detta utnyttjande har ännu uppstått.