Een onderzoeker is erin geslaagd om de Gatekeeper-beveiliging van Mac OS X te omzeilen, waardoor het mogelijk is om ongesigneerde code op systemen uit te voeren. Gatekeeper is een beveiligingsmaatregel die sinds 2012 in OS X aanwezig is en bepaalt welke applicaties mogen worden uitgevoerd.

Hiervoor voert Gatekeeper verschillende controles uit. Standaard staat Gatekeeper zo ingesteld om alleen apps uit de Mac App Store en van geïdentificeerde ontwikkelaars toe te staan. In dit laatste geval gaat het om ontwikkelaars die over een geldig Apple Developer ID-certificaat beschikken. Gebruikers kunnen Gatekeeper ook instellen om alle apps toe te staan of alleen apps die uit de Mac App Store komen.

Controle

Onderzoekers Patrick Wardle heeft nu een manier gevonden om Gatekeeper te omzeilen. De beveiligingsmaatregel blijkt namelijk niet te controleren of een app andere apps of code uit dezelfde of een aanverwante directory laadt. Gatekeeper vertrouwt de app aan de hand van de eerste statische controle. Een aanvaller kan hier misbruik van maken door een gebruiker een gesigneerde en besmette app via een derde partij te laten downloaden of via een man-in-the-middle-positie. In dit geval zou de download via HTTP moeten plaatsvinden.

In het geval van de aanval die de onderzoeker ontwikkelde krijgt de gebruiker een DMG-bestand aangeboden. Zodra de gebruiker het bestand opent wordt het kwaadaardige bestand in hetzelfde DMG-bestand uitgevoerd. Het probleem is aanwezig in OS X Yosemite en de betaversie van El Capitan, zo laat Wardle aan Threatpost weten.

Apple werkt inmiddels aan een oplossing voor de korte termijn, totdat er een volledige patch kan worden uitgerold. Gebruikers krijgen tot het verschijnen van deze tijdelijke oplossing of de patch het advies om alleen apps via HTTPS en van betrouwbare locaties zoals de Mac App Store te downloaden. Wardle geeft vandaag tijdens de Virus Bulletin conferentie een presentatie over de het probleem.