Bypassando la tecnologia Gatekeeper di Apple si spalanca la porta al malware

La specifica funzione svolta da Gatekeeper è quella di proteggere Mac OS X nei confronti dei programmi malware e dei software di dubbia provenienza che insidiano l’ecosistema chiuso di Apple. Questo meccanismo di difesa è ugualmente divenuto uno dei bersagli prediletti da ricercatori ed hacker particolarmente esperti, nel tentativo di assumere il controllo dei dispositivi Apple.

Intervenendo alla conferenza Virus Bulletin, tenutasi a Praga all’inizio del mese in corso, Patrick Wardle, responsabile della divisione di ricerca di Synack, ha di fatto dimostrato come fosse possibile bypassare il “guardiano” Gatekeeper, pur sottolineando di aver impiegato del tempo prima di giungere all’individuazione di tale metodo. Il ricercatore ha dichiarato a Threatpost di aver già condiviso con Apple la scoperta da egli effettuata; Wardle ha inoltre asserito che la casa di Cupertino sta già sviluppando un fix in grado di fornire una protezione temporanea, in attesa di rilasciare, in seguito, la patch completa. Il fatto è che il metodo di bypass illustrato da Patrick Wardle sfrutta una mancanza a livello di sviluppo del software; l’eliminazione di tale “difetto” richiederà necessariamente l’introduzione di alcune modifiche nell’architettura del sistema operativo.

Prima di consentire l’esecuzione di un’applicazione su un dispositivo Apple, Gatekeeper esegue tutta una serie di verifiche. Ad esempio, esso blocca qualsiasi codice che non risulti firmato tramite l’apposito certificato emesso dallo sviluppatore Apple, così come i codici scaricati da store di terze parti. Ad ogni caso, il suddetto “guardiano”, secondo quanto asserisce Wardle, non verifica la capacità, da parte dell’applicazione, di lanciare o scaricare altri programmi, o librerie dinamiche, dalla stessa directory o da una directory relativa.

L’applicazione, una volta superata la prima verifica statica eseguita da Gatekeeper, non viene sottoposta ad ulteriori controlli da parte di quest’ultimo, e viene quindi considerata attendibile. Patrick Wardle ha quindi focalizzato la propria attenzione su tale falla: un malintenzionato potrebbe ingannare l’utente e indurre la vittima a scaricare da una fonte esterna un programma “regolarmente” provvisto di firma, ma infetto. Risulta inoltre possibile, per il cybercriminale, condurre un attacco di tipo “man-in-the-middle”, il quale permetterebbe, ad esempio, di poter scaricare nella directory in questione una libreria malevola, attraverso il canale HTTP, e creare quindi una vera e propria testa di ponte sulla macchina sottoposta ad attacco.

Nel prepararsi all’attacco dimostrativo, di tipo PoC (Proof of Concept), Wardle ha reperito un codice binario provvisto di certificato Apple, ed ha conferito a tale codice la struttura di file .dmg (immagine disco in Mac OS X), ricavando quindi un file che, una volta dotato di icona standard di applicazione, avrebbe potuto essere proposto all’utente per un’eventuale operazione di download. Al momento dell’attivazione, il suddetto codice provvede a ricercare nello stesso .dmg il file eseguibile nocivo, e ne avvia l’esecuzione.

Bypassando la tecnologia Gatekeeper di Apple si spalanca la porta al malware

“Niente di particolarmente complesso; si tratta, tuttavia, di un metodo di sicura efficacia, che consente di bypassare completamente Gatekeeper, – ha dichiarato il ricercatore. – Esso permette all’hacker di utilizzare, successivamente, metodi e trucchi di stampo più “tradizionale”: il download di programmi Trojan o di falsi antivirus, oppure la pubblicazione di applicazioni infette sul sito Pirate Bay. Quello che mi preoccupa di più è la possibilità di ottenere l’accesso alla rete, nel caso in cui l’avversario si riveli sufficientemente esperto. Un hacker particolarmente abile può ad esempio utilizzare un download pericoloso contro strutture governative dotate di privilegi di accesso elevati; il malintenzionato non avrebbe di certo particolari problemi ad associare un file binario Apple, del tutto legittimo, con un programma malware, oppure ad allestire un attacco di tipo “man-in-the-middle”; nella circostanza, Gatekeeper non sarebbe in grado di esercitare alcuna funzione protettiva”.

Patrick Wardle, che aveva in precedenza individuato la possibilità di intercettare Apple dylib, ha eseguito la dimostrazione del nuovo metodo di attacco su Yosemite; egli ritiene, tuttavia, che tale metodo di assalto possa funzionare su tutte le versioni di OS X, incluso El Capitan, la versione più recente del sistema operativo della Mela. Il ricercatore, di fatto, ha testato la modalità di attacco da egli messa a punto sulla versione beta di El Capitan; anche in tale circostanza, Wardle è riuscito a bypassare Gatekeeper.

“Sono convinto che Gatekeeper sia uno strumento di indubbia utilità, – ha aggiunto il ricercatore di Synack. – Apple, oltretutto, lo considera come una delle tecnologie chiave nell’ambito del proprio arsenale di sicurezza IT, in grado di rendere i computer Mac più sicuri rispetto ad altri dispositivi. In realtà, Gatekeeper rappresenta una valida protezione solo dal punto di vista degli utenti meno esperti; esso, in effetti, è in grado di neutralizzare solo gli attacchi informatici “primitivi”; ritengo che, per gli hacker più “avanzati”, Gatekeeper non possa costituire un serio ostacolo. Non si tratta, a dir la verità, di un bug, bensì di un limite funzionale di Gatekeeper. Suppongo che la relativa correzione comporti significative modifiche a livello di codice. Una patch che preveda l’introduzione di una verifica supplementare, come nel caso di un buffer overflow, non si rivelerebbe, nell’occasione, di particolare aiuto”.

Mentre Apple è al lavoro per sviluppare la necessaria soluzione, raccomandiamo agli utenti cautela e prudenza, e di scaricare quindi le applicazioni esclusivamente da fonti attendibili, peraltro servendosi solo del protocollo di sicurezza HTTPS. Il ricercatore non dispone, per il momento, di informazioni relative all’esistenza, “in the wild”, di simili attacchi; egli ha tuttavia sottolineato, ancora una volta, come Gatekeeper, nel suo stato attuale, non sia in grado di bloccare coloro che intendono portare attacchi a reti informatiche in ambito governativo.

A sostegno di quanto asserisce Wardle, gioca anche il fatto che le applicazioni, di solito, non ricercano programmi e librerie in altre directory. Non sarebbe, questo, un comportamento normale. Secondo il ricercatore di Synack, il problema potrebbe essere risolto introducendo una verifica dinamica riguardo all’attendibilità della fonte, al momento dell’avvio del codice eseguibile o dell’upload della libreria.

“Se l’applicazione o la libreria vengono scaricate da Internet, tale verifica permetterà di stabilire se il download eseguito è conforme o meno alle impostazioni dell’utente, che richiedono la presenza di una firma e la provenienza da una fonte specifica, quale l’App Store, – sostiene Patrick Wardle. – Tutto questo è pienamente realizzabile e, in linea di principio, dovrebbe poter neutralizzare l’attacco. In pratica, quando il codice eseguibile ritenuto attendibile da Apple ne avvia un altro sprovvisto di firma, e non approvato, l’hook dinamico rileverà immediatamente la particolare circostanza. Apple dispone già di un framework pronto all’uso, per poter effettuare la procedura di intercettazione durante l’esecuzione del codice, e condurre le opportune verifiche. Ritengo che lo stesso possa essere ampliato, allo scopo di introdurre questo nuovo controllo”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *