Beveiligingslek in Gatekeeper treft ook nieuwste versie macOS

Door: Night - 14 reacties
macOS 10.14 Mojave

Er is een lek ontdekt in het beveiligingsmechanisme van macOS, genaamd Gatekeeper. Het lek is nu door ontdekker Filippo Cavallarin publiek gemaakt omdat het in macOS 10.14.5 nog niet verholpen is.

Beveiligingsonderzoeker Filippo Cavallarin heeft het lek ontdekt en aan Apple doorgegeven. Toch is de fout in nog niet door Apple erkend of verholpen in macOS 10.14.5, wat op moment van publicatie de nieuwste versie is. Cavallarin heeft daarop besloten om de wijze waarop Gatekeeper te misleiden is, openbaar te maken.

Wat is Gatekeeper en wat gaat er mis?

Om het probleem te begrijpen vatten we eerst even kort samen wat Gatekeeper precies is. Het is – zoals de naam al doet vermoeden – een een systeemonderdeel van macOS dat voor beveiliging zorgt. Het verifieert applicaties onmiddellijk na het downloaden op authenticiteit. Wanneer een gebruiker buiten de Mac App Store om een app downloadt, wordt het gebruikt om te controleren of de code is ondertekend door Apple. Als de code niet (correct) is ondertekend, wordt de app niet geopend zonder dat de gebruiker daarvoor directe toestemming heeft gegeven.

Cavallarin schrijft echter op zijn blog dat de functionaliteit van Gatekeeper volledig kan worden omzeild. In de huidige implementatie beschouwt Apple’s beveiligingsmechanisme zowel externe schijven als netwerkshares als ‘veilige locaties’. Dit betekent dat alle toepassingen op die locaties kunnen worden uitgevoerd zonder de code opnieuw te controleren. Hij legt verder uit dat de gebruiker “gemakkelijk” kan worden misleid door een ​​gedeelde netwerkschijf op te zetten en dat alles in die map Gatekeeper ongestoord kan passeren.

macOS Gatekeeper
Klik/tap voor groter.

Het lek uitgelegd

Het lek bestaat eigenlijk uit twee onderdelen. Het eerste is een legitieme functie genaamd automount (ook bekend als autofs) waarmee een gebruiker een netwerkshare automatisch kan koppelen door een speciaal pad te openen. In dit geval een pad dat begint met /net/.

Bijvoorbeeld: ls /net/evil-attacker.com/sharedfolder/ laat macOS de inhoud van de ‘gedeelde map’ op de externe host (evil-attacker.com) lezen met behulp van NFS (Network File System). NFS wordt onder meer gebruikt om bestanden op een NAS te kunnen benaderen en is dus een noodzakelijk onderdeel van macOS. De tweede probleem is dat ZIP-bestanden symbolische koppelingen (symlinks) kunnen bevatten die naar een willekeurige locatie wijzen, inclusief automount-instelpunten. De software op nacOS die verantwoordelijk is voor het uitpakken van ZIP-bestanden voert geen verdere controle uit op deze symbolische koppelingen voordat ze zijn gemaakt.

Een voorbeeld van hoe dit zou werken

Het volgende scenario laat zien hoe deze exploit werkt. Een aanvaller maakt een ZIP0bestand met een symbolische koppeling naar een automount-eindpunt dat hij bestuurt. Bijvoorbeeld waarin Documenten verwijst naar /net/evil-atacker.com/Documents. Vervolgens verzendt hij het ZIP bestand naar het slachtoffer.

Het slachtoffer downloadt het schadelijke ZIP-bestand, pakt het uit en volgt de symlink. Het slachtoffer bevindt zich nu op een door de aanvaller beheerde locatie. Gatekeeper vertrouwt deze locatie echter. De gebruiker kan een door de aanvaller gemaakt bestand dat nu dus zonder enige waarschuwing openen. De Finder verbergt standaard de .app extensie, net als het volledige pad in de titelbalk. Dat maakt deze techniek zeer effectief want het is voor gebruikers moeilijk te herkennen.

Apple op de hoogte gesteld

Cavallarin zegt dat hij Apple al op 22 februari op de hoogte heeft gebracht van deze fout. Het bedrijf had dit dus moeten aanpakken met de release van macOS 10.14.5 van afgelopen week. In die release van macOS is de bug echter nog steeds aanwezig. Volgens Cavallarin reageert Apple ook niet meer op zijn e-mails. Omdat Apple de gestelde termijn van 90 dagen heeft overschreden zonder actie te ondernemen, maakte Cavallarin de fout openbaar. Er is ook een video van het probleem in Gatekeeper gemaakt. Dat kun je hieronder bekijken:

Reacties

14 reacties
  • Profielfoto
    pruus

    Ja, wie dacht dat Apple os echt veilig is, komt bedrogen uit. Wat niet weet, wat niet deert. We drinken een glas, doen een plas, en alles blijft zoals het was. Triest dat zo laconiek gereageerd wordt op dit soort calamiteiten.

  • Profielfoto
    Rauzer

    3 redenen voor mij op Apple te kiezen.

    “it just works”
    Veilig
    en respecteren je privacy

    “It just works” is lang niet meer wat het was.

    en vandaag 2 artikelen op onemorething die reden 2 en 3 op losse schroeven zet.

     

     

  • Profielfoto
    Tee Loo

    Rauzer op 26 mei 2019 22:54
    […] en vandaag 2 artikelen op onemorething die reden 2 en 3 op losse schroeven zet.

     

     

    Mooi, dan kies je voor die andere opties:

    It doesn’t just work;
    Onveilig;
    Geen respect voor privacy.

    Doet me denken aan vroeger toen ik Windows elk jaar opnieuw installeerde en de zoveelste onmogelijke virus software installeerde.

     

  • Profielfoto
    Tee Loo

    Vroeger, toen ik nog mijn tekst kon aanpassen:

    anti-virus software natuurlijk;-)

  • Profielfoto
    GoeieDag

    WTF Night? In de vorige versies (voor Sierra) van macOS was de derde optie van Gatekeeper: zet uit.

    Jesus, wat een bak kritiek toen die optie onder de oppervlakte werd gebracht.

    En nu heet het in een keer een beveiligingslek??!!

  • Profielfoto
    GoeieDag

    Tot zover de journalistieke bijdrage van forum-zwoeger Night op deze site die net wil doen alsof ze wat te melden hebben. Wat een armoe.

  • Profielfoto
    Night

    GoeieDag op 26 mei 2019 23:55

    WTF Night? In de vorige versies (voor Sierra) van macOS was de derde optie van Gatekeeper: zet uit.

    Jesus, wat een bak kritiek toen die optie onder de oppervlakte werd gebracht.

    En nu heet het in een keer een beveiligingslek??!!

    Ja, als de optie ongezien toch gebruikt kan worden, zonder dat de gebruiker het in de gaten heeft en vertrouwd op de Gatekeeper beveiliging, kan je dat wel een ernstige tekortkoming noemen.

  • Profielfoto
    GoeieDag

    Uiteraard, principieel is het fout.

    Maar dat is wat anders dan dat het OS in een keer onveilig is, of dat het calamiteit is, zoals ‘Pruus’ en anderen hierboven stellen.

    Ach, laten we vooral meehuilen met de wolven in het bos, en zelf niet meer een klein beetje nadenken…

  • Profielfoto
    Shmoo

    Huilen met de wolven in het bos is nog altijd beter dan stiekem huilen zonder het dekbed wanneer je weer moet beffen.

  • Profielfoto
    koen

    Zonder of onder? 🤔

  • Profielfoto
    Alexander Henket

    ‘Zonder’ ziet zij het ook.

    Maar serieus: het is een issue en blij als het dat niet is.

  • Profielfoto
    Hans V R

    Bedankt Night. Dit zijn ernstige risico’s voor mijn werk en ik zou hebben verwacht dat Apple dat serieus zou hebben opgepakt. Dat zal nu wel gebeuren, maar ik had niet verwacht dat ze dit zouden laten liggen.

  • Profielfoto
    Rauzer

    Tee Loo op 26 mei 2019 23:07

    Rauzer op 26 mei 2019 22:54
    […] en vandaag 2 artikelen op onemorething die reden 2 en 3 op losse schroeven zet.

     

     

    Mooi, dan kies je voor die andere opties:

    It doesn’t just work;
    Onveilig;
    Geen respect voor privacy.

    Doet me denken aan vroeger toen ik Windows elk jaar opnieuw installeerde en de zoveelste onmogelijke virus software installeerde.

     

    Tee Loo op 26 mei 2019 23:07

    Je hebt helemaal gelijk, ik weet dat andere platforms ook geen opties zijn. Dat maakt het ook zo vervelend.

    Overigens moeten de laatste geruchten nog maar blijken.  Ik hoop dat het allemaal wel mee zal vallen.

     

    Ik ben ook jaren geleden overgestapt op Mac (2001) toen was het verschil tussen mac en windows, dag en nacht. Ik vraag me af hoe dat tegenwoordig is.

    Maar wat opvalt is dat MacOS een stuk onzorgvuldiger is geworden.

  • Profielfoto
    polansky

    Rauzer op 27 mei 2019 11:19
    Ik ben ook jaren geleden overgestapt op Mac (2001) toen was het verschil tussen mac en windows, dag en nacht. Ik vraag me af hoe dat tegenwoordig is.

    Ik heb vorig jaar een korte periode gehad waarin ik een Windows Surface Pro wel dacht zien te zitten. Heb hem gekocht en….. na 5 maanden uitgezet en een nieuwe MBP gekocht.

    Jezus – Dat hele windows is nog steeds één bak meuk!
    Janken met een enorme pet op. Het blijft bagger.
    Het ziet er op sommige punten beter uit dan een paar jaar geleden, maar beveiliging is nog steeds als een pot met zure pruimen.