Apple 10 лет позволяла подписывать трояны своей цифровой подписью по вине Facebook и Google

Софт Безопасность
мобильная версия
, Текст: Роман Георгиев

Mac OS X и MacOS угрожало некорректное использование API, отвечающего за сертификацию кода. Уязвимый код содержался в разработках Facebook, Google, F-Secure и других фирм.


Внешняя угроза

Опасная уязвимость ставит под угрозу операционную систему MacOS: вредоносное ПО может выдавать себя за легитимный софт, снабженный цифровой подписью Apple. Проблема возникла еще около десяти лет назад, но обнаружена только сейчас.

Как выяснили эксперты по безопасности компании Okta Inc., ошибка возникла из-за некорректной интерпретацией сторонними разработчиками программного интерфейса (API) Apple, используемого для верификации безопасности ПО. Непосредственными виновниками, по-видимому, являются такие компании как Facebook, Google, Yelp, а также вендоры безопасности Carbon Black и F-Secure.

По сведениям Okta, уязвимость затрагивает файлы формата Fat/Universal. Библиотека этого двоичного формата содержит несколько файлов, предназначаемых для различных типов процессоров. Это значит, что фактически один исполняемый файл может включать несколько версий одного и того же приложения для работы на системах с разными архитектурами (i386, x86_64 или PPC).

Операционным системам Apple десять лет угрожала чужая уязвимость

Для успешной эксплуатации уязвимости только первый из файлов, хранящихся в так называемом бандле Fat/Universal (файл Mach-O) должен быть снабжен цифровой подписью Apple. При этом минимум восемь разработок различных сторонних вендоров будут считать подписанным Apple любой код, находящийся в том же бандле, даже если такой подписи у него нет.

Среди подобных разработок — VirusTotal, Google Santa, Facebook OSQuery, Little Snitch Firewall, Yelp, OSXCollector, Carbon Black db Respons и несколько других.

Исправлено не все

По утвержденю Okta, вендоры были уведомлены ею до обнародования данной проблемы. Facebook, Google и FSecure заявили, что баг устранен в недавних обновлениях. Yelp предложил пока только промежуточное решение, пообещав выпустить патч в ближайшее время.

Эксперты предупреждают, что количество уязвимых продуктов может быть куда больше, чем кажется. По мнению специалистов Okta, в первую очередь, речь идёт об инструментах киберзащиты и компьютерной-технической экспертизы. Apple призвали произвести обширную ревизию ПО в App Store на предмет выявления уязвимых разработок.

В свою очередь, представители Apple заявили, что девелоперам следует более внимательно относиться к верификации кода.

«По существу речь идет не о баге в коде Apple, скорее о некорректном использовании API другими разработчиками, — считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Тем не менее, пользователи именно продуктов Apple оказались под угрозой. Особую пикантность ситуации добавляет тот факт, что среди уязвимых были разработки вендоров безопасности».