r   e   k   l   a   m   a
r   e   k   l   a   m   a

macOS High Sierra: bezpieczne ładowanie rozszerzeń jądra nie takie bezpieczne

Strona główna AktualnościBEZPIECZEŃSTWO

Najnowszy macOS 10.13 wprowadza nowy mechanizm zabezpieczający Secure Kernel Extension Loading (SKEL), mający blokować ładowanie rozszerzeń jądra. W założeniu ma on oczywiście chronić przed złośliwym oprogramowaniem. Praca niezależnego badacza Patricka Wardle’a pokazuje jednak, że Apple za mocne w kwestiach związanych z bezpieczeństwem nie jest, a SKEL praktycznie nie stanowi żadnej przeszkody dla twórców malware, utrudni tylko życie niezależnym programistom.

Poprzez Secure Kernel Extension Loading, system macOS High Sierra ma uniemożliwić aplikacjom załadowanie modułów do jądra systemu operacyjnego (Xnu) w celu zmiany jego działania bez wyraźnej zgody użytkownika. Przedstawione w dokumentacji Apple’a rozwiązanie już wzbudziło niepokój profesjonalistów korzystających z macOS-a. Ekspert od systemu Apple’a Erik Gomez nazywa całe wręcz je „kextokalipsą” [od popularnej nazwy rozszerzeń kernela macOS-a, kext – przyp. red.], wykazując, że w warunkach korporacyjnych dotknie ono użytkowników antywirusów, licznych sterowników, środowisk wirtualizacyjnych czy narzędzi deweloperskich.

Aby bowiem użyć rozszerzenia jądra konieczne jest ręczne otworzenie ustawień bezpieczeństw i prywatności, a następnie anie tam pozwolenia na jego użycie. Procedura ta jest stosunkowo uciążliwa, na tyle, że wielu użytkowników nie będzie w stanie zainstalować legalnego oprogramowania bez pomocy – szczególnie jeśli nie mają uprawnień administracyjnych. Pociesza jedynie to, że rozszerzenia już zainstalowane w macOS Sierra (10.12) będą automatycznie dozwolone w 10.13.

r   e   k   l   a   m   a

20 minut miało zająć Patrickowi Wardle z firmy Synack znalezienie w ostatniej udostępnionej wersji beta macOS-a High Sierra drogi obejścia SKEL. Udało mu się bez problemu instalować nowe rozszerzenia bez interakcji z użytkownikiem. Nie ujawnił technicznych szczegółów swojego ataku – wygląda jednak na to, że nie jest on wcale taki oczywisty. Nie chodzi ani o bezpośrednią modyfikację bazy polityk wobec rozszerzeń kernela, ani też programistyczne sterowanie interfejsem użytkownika, by zasymulować zgodę.

Trzeba przypomnieć, że już od premiery OS X Yosemite, Apple uniemożliwia swobodne ładowanie rozszerzeń kernela. Kexty muszą być podpisane specjalnym certyfikatem, który uzyskać wcale nie jest łatwo – wydane one zostały jedynie nielicznym firmom programistycznym, mającym uzasadnione powody do pisania kodu ingerującego w kernel Xnu. Przedstawiono to oczywiście jako wzmocnienie bezpieczeństwa systemu, i jedynie nieprzychylne firmie z Cupertino języki oceniły to jako kolejny mechanizm kontroli Apple nad tym, co robimy z Makami. Obecnie niepodpisane kexty można wgrać do systemu tylko wtedy, gdy użytkownik dezaktywuje system ochrony przed modyfikacją integralności (SIP).

Nowe zabezpieczenia, zdaniem Wardle’a, skomplikują życie programistów i użytkowników produktów firm trzecich, nie wpływając na cyberprzestępców, którzy przecież nie zamierzają grać zgodnie z zasadami. Oczywiście jeśli faktycznym celem SKEL jest przejęcie kontroli nad systemem użytkownika pod przykrywką wzmocnienia bezpieczeństwa, to odkryte obejście nie jest żadną wadą – pisze ekspert.

Nie wiemy póki co, czy szczegóły techniczne ataku zostały przekazane Apple i czy wykorzystana luka została już zamknięta w wersji Golden Master macOS High Sierra 10.13. Premiera nowej wersji systemu operacyjnego Maka planowana jest na 25 września.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.