Hackers contornam Gatekeeper para expor malwares como apps legítimos para Macs

Ícone - GatekeeperUma das técnicas de proteção que a Apple oferece para seus usuários de Macs é o Gatekeeper. Apresentado em 2012 no OS X 10.8 Mountain Lion (saiba mais sobre ele aqui), trata-se de um recurso que limita a execução de apps do sistema operacional para apenas os que foram certificados pela empresa através do seu programa de desenvolvedores — podendo ser distribuídos em canais de terceiros via assinatura digital ou na Mac App Store.

Não se trata de um primor em proteção contra malwares, mas ele sempre atendeu bem a um ponto crítico de segurança no OS X, que está na obtenção de apps de terceiros: afinal de contas, impor uma App Store da mesma maneira que no iOS seria impraticável para Macs. A não ser que o desligue, pode-se contar com ele como um artifício para neutralizar ataques de engenharia social que enganam usuários em downloads maliciosos ou provenientes de conexões não-seguras, validando a assinatura de pacotes.

Entretanto, existem algumas limitações de design na abordagem da Apple que tornam o Gatekeeper fácil de ser contornado. Patrick Wardle, pesquisador da Synack, contou ao Ars Technica a respeito de um método testado que permite usar um aplicativo legítimo para acessar outros executáveis e arquivos maliciosos sem que infrinjam a regra de assinatura de código do OS X.

Basicamente, o Gatekeeper não faz mais do que validar a assinatura da porção executável de um aplicativo na sua primeira utilização; a partir daí, o sistema passa a confiar plenamente no que é feito por ele. Mas certos aplicativos executam trechos de código em arquivos desenvolvidos separadamente por terceiros (um Photoshop com plugins, por exemplo). Então se você encapsular um desses apps em um local onde existem arquivos desta natureza modificados maliciosamente, o sistema não validará as novas relações de confiança.

O cenário foi demonstrado por Wardle em Praga, durante uma conferência de hackers. Através dele, seria possível distribuir aplicativos maliciosos com código que pode executar diversas funções localmente com os mesmos privilégios que o produto original. Como o software assinado pode ser confiável, seus arquivos auxiliares não teriam limitações para serem chamados durante seu funcionamento.

Segundo Wardle, a Apple já está trabalhado para resolver essa limitação na proteção do Gatekeeper. Não se trata de uma possibilidade de exploração com impacto alto para a maioria dos usuários de Macs, mas quem precisa rodar softwares sem a proteção de assinatura digital do OS X precisa ficar atento ao que pode baixar da internet, enquanto o caso não for encerrado.

Posts relacionados

Comentários