Ha salido a la luz una grave vulnerabilidad relacionada con Gatekeeper y que afectaría a cualquier sistema OS X. Gracias a esta vulnerabilidad un atacante podría a través de una app firmada por Apple ejecutar cualquier tipo de malware en el sistema de la víctima evadiendo cualquier tipo de bloqueo de Gatekeeper.
Gatekeeper es una de las funcionalidades de seguridad más importantes para OS X y desde su lanzamiento en 2012 ha ayudado a proteger a los usuarios de Mac de diferentes tipos de malware. Pero como todo sistema tiene su agujeros y uno de ellos ha sido descubierto por investigadores de la firma Synack, sobrepasando la protección proporcionada por Gatekeeper incluso en escenarios en los que esté configurado con los parámetros más estrictos.
La vulnerabilidad de Gatekeeper se produce a través de la propia confianza que Gatekeeper otorga a ficheros firmados. Gatekeeper fue diseñado para reconocer y validar apps antes de que puedan ser instaladas identificando si han sido previamente firmadas por Apple o originadas en la App Store pero no para prevenir que apps de confianza pudieran ejecutarse de otra manera de la prevista inicialmente como por ejemplo ejecutando malware.
El PoC de Synack funciona de la siguiente manera. Se localizó un binario ya firmado por Apple que una vez ejecutado lanza otra app separada en la misma carpeta. Renombrando este binario original y metiéndolo en una imagen de disco Apple, Gatekeeper lo aprobará automáticamente y permitirá su ejecución. Seguidamente esta app irá a buscar la app secundaria y simplemente reemplazando esta por malware, este será ejecutado sin problemas ya que la app original ya ha sido validada. También comenta que estrategias similares podrían funcionar reemplazando plugins en apps como Photoshop,etc..
Apple fue advertida de la vulnerabilidad con suficiente tiempo por lo que se espera que en breve lancen una actualización para Gatekeeper para evitar esta vulnerabilidad. El propio Patrick Wardle, director de investigación en Synack, ha comentado que hay que asumir que existen otras apps aparte de la que Synack descubrió que pueden ser usadas de la misma manera para evitar Gatekeeper.
Fuente Ars
