image

Kwaadaardige code kan zich door lek als Apple-code voordoen

dinsdag 12 juni 2018, 16:52 door Redactie, 3 reacties

Een onderzoeker heeft een manier ontdekt waardoor kwaadaardige code zich kan voordoen als code die van Apple afkomstig is. Ontwikkelaars kunnen hun code signeren, zodat applicaties en gebruikers kunnen controleren dat de code ook echt van de ontwikkelaar afkomstig is die de code heeft gesigneerd.

Beveiligingssoftware, zoals virusscanners, kijken of code gesigneerd is om te bepalen of een bestand betrouwbaar is of niet. Onderzoeker Josh Pitts van securitybedrijf Okta ontdekte een manier waarop het code signing-mechanisme op macOS is te manipuleren, waardoor applicaties denken dat het om code van Apple gaat, terwijl het in werkelijkheid kwaadaardige code betreft.

Het probleem bevindt zich niet in macOS, maar in de manier waarop programma's van derden omgaan met de code signing-api van Apple in combinatie met Fat/Universal-bestanden op de Mac. Een Fat/Universal-bestand is een binair formaat dat verschillende uitvoerbare bestanden kan bevatten. Zodra het eerste bestand in een speciaal geprepareerd Fat/Universal-bestand van Apple afkomstig is, beschouwen sommige applicaties de rest ook als Apple-bestanden.

Onder andere VirusTotal, Googles Santa, Little Snitch, F-Secure xFence (LittleFlocker), KnockKnock, TaskExplorer, Yelp en Carbon Black Cb Response waren kwetsbaar. Pitts waarschuwde Apple, maar het bedrijf liet weten dit niet als een beveiligingsprobleem te zien dat het direct moest oplossen. Daarop besloot de onderzoeker alle bekende kwetsbare derde partijen te informeren, die vervolgens met oplossingen kwamen. Pitts merkt op dat mogelijk ook software van andere ontwikkelaars kwetsbaar is en heeft daarom besloten het probleem openbaar te maken. Het probleem speelt alleen op macOS en oudere OS X-versies.

Reacties (3)
12-06-2018, 17:34 door Anoniem
Brrrr : Fat/Universal !?

Fat/Universal bestanden werden gebruikt in de tijd dat Apple van PowerPc processors overstapte naar intel processors.
Dat is medio 2005 en 2006.

Het eerste echte Intel Mac OsX dat alleen op intelMac's draaide en niet meer op PowerPC en ook geen powerpc apps' kon draaien, direct of via de intermediar Rosetta.app (op Snow Leopard 10.6) was OS X 10.7 LION uit 2012.

Daarna was het ook wel in merendeel gedaan met het aanbieden van veel dubbeldik verpakte Fat/Universal app pakketten voor PowerPc en Intel Mac's.

Een oud probleem dat in positieve zin gecompenseerd word door iets anders, namelijk dat er vroeger nog minder tot vrijwel geen Mac malware was.

Tegenwoordig wordt er ietwat vaker aan de deur gerammeld met malafide app's maar komen die Fat/Universal verpakkingen nauwelijks meer voor omdat het onzinnig is die te gebruiken voor hedendaagse MacOs versies.

Het laatste PowerPc Mac OSX was immers Leopard 10.5 uit 2007.
En dat is alweer een jaartje of wat geleden.
Of nogalwat OS versies, 9!

10.14 staat immers te trappelen!

https://en.wikipedia.org/wiki/MacOS_Mojave
https://en.wikipedia.org/wiki/Universal_binary
https://en.wikipedia.org/wiki/Apple%27s_transition_to_Intel_processors

Zoek zelf maar ff de marketshare op van OSX 10.6 / 10.5 en 10.4 .
Eigenlijk alleen interessant dus voor targeted attacks, a.k.a. overheden.
13-06-2018, 12:50 door [Account Verwijderd] - Bijgewerkt: 13-06-2018, 12:52
Nou ja zeg het is toch wel schandááálig te noemen dat dit lek in 2005 nooit is gevonden, maar veel dramatischer is dat gezien de spreekwoordelijke traagheid waarmee Apple zg. Legacy vulnerabillities patcht er waarschijnlijk tot 2025 niets zal gebeuren om de veiligheid van de betreffende OS te bestendigen.

Een even griezelig voorbeeld was eminent In 2014 toen er ook pas na ruim twintig jaar! aandacht besteed werd aan een lek in het Macintosh Os 7

Zie: https://www.engadget.com/2014/02/28/apple-finally-patches-vulnerability-that-led-to-jurassic-park-fi/
13-06-2018, 16:22 door Briolet
Ik weet niet waarom de reacties over oude OSX versies praten. Zoals ik het het verhaal lees, speelt het nog steeds op de actueelste MacOS versies. Het zijn de 3th-party apps die bij fat bestanden alleen de eerste controleren en dan de tweede met uitvoerbare 64 bit code niet controleren.

Ik heb op mijn iMac ook apps waar een 32-bit en een 64 bit versie gebundeld is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.