macOS Gatekeeperの脆弱性をアドウェア企業が悪用か

先月、セキュリティ研究者によって発見されたmacOS Gatekeeperの脆弱性が、アドウェア企業によるテストのようなもので悪用されました。

Gatekeeperは、コードがAppleによって署名されていることを確認することによって、Macアプリが正当であることを保証するように設計されています。このチェックに失敗したアプリは、ユーザーがリスクを認識し、続行するための明示的な許可を与えずにインストールを許可されるべきではありません。

しかし、先月のセキュリティ研究者Filippo Cavallarinがこの問題に注目を集めました。

Gatekeeperの機能は完全に回避できます。現在の実装では、Gatekeeperは外付けドライブとネットワーク共有の両方を「安全な場所」と見なします。つまり、これらの場所に含まれるすべてのアプリケーションは、コードを再確認することなく実行できます。彼は続けて、ユーザーが「簡単に」ネットワーク共有ドライブのマウントにだまされ、そのフォルダ内のすべてのものがGatekeeperを通過できることを説明します。

そのため、1つの署名付きアプリを使用して他の未署名のアプリを認証できます。

Cavallarinは、脆弱性を開示する前に90日以内にAppleにその脆弱性の修正を許可するよう努めましたが、同社はそれを怠ったため、メールへの返信を停止したと述べています。

セキュリティ会社Integoは、この脆弱性が悪用された例を、アドウェア会社によるテストとして発見したと述べています。

Integoのマルウェア研究チームは先週初め、Cavallarinの脆弱性の最初の既知の使用方法を発見しました。

これは、少なくとも最初はマルウェアの配布の準備としてのテストとして使用されているようです。

Cavallarinが最初に識別したメカニズムはzipファイルによるものでしたが、代わりに見つかったサンプルのマルウェアはディスクイメージを使用していました。

マルウェアメーカーは、Cavallarinの脆弱性がディスクイメージでも機能するかどうかを確認するために実験していたようです。

ディスクイメージファイルは、サンプルに応じて、ファイル名が.dmgのISO 9660イメージ、または実際のApple Disk Image形式の.dmgファイルのいずれかです。通常、ISOイメージのファイル名拡張子は.isoまたは.cdrですが、.dmg(Apple Disk Image)ファイルはMacソフトウェアの配布に広く使用されています。 (ちなみに、他のいくつかのMacマルウェアサンプルでは最近ISOフォーマットを使用しています。おそらくマルウェア対策ソフトウェアによる検出を回避するための弱い試みです。)

Integoは、6月6日にVirusTotalにアップロードされた4つのサンプルを、各ディスクイメージを作成してから数時間以内に観察され、すべてインターネットにアクセス可能なNFSサーバー上の特定のアプリケーションにリンクしています。

Intego氏によると、このテストがOSX / Surfbuyerアドウェアの開発者によって行われたのではないかと思われるにはもっともな理由があるという。

ディスクイメージは、Adobe Flash Playerのインストーラとして偽装されています。これは、マルウェアの作成者がMacユーザーを悪用してマルウェアをインストールさせる最も一般的な方法の1つです。 4番目のOSX / Linkerディスクイメージは、Apple Developer ID(Mastura Fenny(2PVD64XRF3))によってコード署名されています。これは、過去90日間に文字通り数百の偽のFlash Playerファイルに署名するために使用されています。

同社は、発見された例では一時的なテキストファイルを作成する以外に何もしなかったため、これは単なるテストであるという考えに重点を置いており、その後ファイルはサーバーから削除されました。

ディスクイメージ内の.appは動的にリンクされているため、ディスクイメージをまったく変更する必要なく、いつでもサーバー側で変更できます。そのため、被害者のMac上で実際に悪意のあるコードを実行したアプリを配布するために、同じディスクイメージ(またはVirusTotalにアップロードされていない新しいバージョン)が後で使用される可能性があります。

Integoは、Appleがその証明書を失効させることができるように、Apple Developer IDをAppleに報告した。

いつものように、ベストプラクティスはMac App Storeやあなたが明示的に信頼している他のソースからのみアプリをダウンロードすることです。この脆弱性は悪意のある人が正規のアプリと一緒にマルウェアを供給することを可能にします。

Source:9to5mac

おすすめの記事