Операционная система не проверяет установленные приложения на соответствие подписи.
Серьезная уязвимость в механизме проверки цифровой подписи кода может привести к компрометации приложений, установленных на компьютерах производства компании Apple. Хуже того, о проблеме не подозревают не только многие пользователи, но и администраторы, предупредил руководитель отдела разработки ПО для Mac и мобильных платформ компании Malwarebytes Томас Рид (Thomas Reed). Поскольку операционная система macOS проверяет цифровую подпись файлов очень редко, существует возможность легко модифицировать уже установленные на компьютере приложения. При загрузке приложения, по сути, помещаются в карантин, система проверяет исполняемые файлы на наличие известного вредоносного ПО и при его отсутствии программа получает статус доверенного ПО. В этом и кроется проблема — ОС не проверяет установленные приложения на соответствие подписи, пояснил Рид. Таким образом злоумышленники могут инфицировать практически любое приложение, уже присутствующее на системе (если у них есть доступ к пользовательским библиотекам).
«Атакующему потребуется просто заменить официальный исполняемый файл вредоносной версией и затем переименовать оригинал. Большинство пользователей не относятся с подозрительностью к программам, которые используются некоторое время и не вызывают проблем», — отметил эксперт.
Реализовать подобную атаку по силам даже скрипт-кидди. Для этого достаточно базовых знаний о написании скриптов командной оболочки, языке сценариев AppleScripting и языке Swift, а все остальное можно «погуглить», утверждает Рид.
По мнению исследователя, проблема вряд ли будет решена в ближайшее время, поскольку macOS функционирует как должна. В этой связи, по мнению Рида, лучшим решением станет реализация разработчиками собственных механизмов проверки кода на соответствие.
