Beveiligingsonderzoeker Dino Dai Zovi zal tijdens de komende Black Hat conferentie een nieuw soort Mac OS X rootkit demonstreren. De Mac OS X kernel is een hybride BSD en Mach kernel. De Mach Kernel maakt verschillende manieren van communicatie mogelijk, maar die zijn in Mac OS X verwijderd. Dai Zovi's rootkit herintroduceert deze mogelijkheden, waardoor een aanvaller op afstand Mach berichten van en naar de gehackte machine kan sturen.

De berichten zijn volgens de onderzoeker in de kernel of user line proces te injecteren. Hiermee is het mogelijk om volledige controle te krijgen en nieuwe processen en paden aan te maken en nieuwe code in een willekeurige proces te injecteren. "Ik heb een voorbeeld agent die je in Apple's Safari kan injecteren die al het SSL-verkeer logt en onderschept. Dit is slechts één van de dingen die je kunt doen."

Marketingverhaal
Dai Zovi waarschuwt dat Mac gebruikers graag geloven dat er iets in hun systeem aanwezig is dat dit soort aanvallen voorkomen. "De ontwikkelingen die deze aanvallen voorkomen zijn voornamelijk van Microsoft afkomstig, Apple speelt hier de tweede viool." Apple heeft dan wel "library randomization", wat lijkt op Microsoft's ASLR, maar de onderzoeker merkt op dat het niet meer dan marketing is. "Ik heb vorig jaar meerdere keren laten zien dat dit in werkelijkheid geen exploit stopt, omdat het belangrijke delen van de geheugenruimte hetzelfde houdt. Daarom is het meer een marketingverhaal dan een maatregel om misbruik te voorkomen."

Aangezien het aantal dreigingen voor de Mac nog zeer beperkt is, geeft dit Mac-gebruikers wel al het recht om vol vertrouwen te zijn. "We zien niet dezelfde aanvallen zoals bij Windows gebruikers het geval is. Maar het doel van beveiligingsonderzoek, en elk onderzoek, is om naar voren te kijken en zaken te onderzoeken die in de toekomst een probleem kunnen worden."