Apple выпраўляе 11-гадовы недахоп у бяспецы macOS

Macos

У цяперашні час мы вельмі прывыклі да таго, што практычна кожны дзень выяўляюцца недахопы бяспекі, якія альбо своечасова выяўляліся рознымі фірмамі, якія прафесійна займаюцца гэтым, альбо непасрэдна эксплуатуюцца ў асобах розных кампаній, кампраметуючы выпадкова дадзеныя мільёны карыстальнікаў, якія штодня карыстаюцца гэтымі паслугамі і бачаць, як яны працуюць ідэнтыфікатары і персанальныя дадзеныя прадаюцца ўдзельніку, які прэтэндуе на прапанову ў Інтэрнэце.

На гэты раз мы павінны пагаварыць пра Apple, кампанія, прадукты якой некаторыя карыстальнікі заўсёды разумелі як бяспечную, а дакладней як "нецікава'для іншых. Я кажу, што гэта мала цікавіць, таму што колькасць карыстальнікаў, якія 10 гадоў таму карысталіся камп'ютэрам Apple, была практычна нязначнай у параўнанні з карыстальнікамі, якія ў той час выкарыстоўвалі іншыя аперацыйныя сістэмы, напрыклад, Windows ці Linux, што прымусіла людзей, якія схільныя прымаць Перавага такога роду памылак звычайна робіцца на атакі на падобныя аперацыйныя сістэмы, бо ўздзеянне іх праграмнага забеспячэння будзе значна большым.

Подпіс Apple

Выяўленая праблема характэрная не для macOS, а для дакументацыі, прадстаўленай самой Apple

Паглыбляючыся крыху больш падрабязна, мы павінны спыніцца на праблеме, якая ўжо больш за 11 гадоў прысутнічае ў аперацыйнай сістэме macOS, што значна больш сур'ёзна, чым вы можаце сабе ўявіць, бо любы тып шкоднага прыкладання можа скарыстайцеся гэтай дзіркай у бяспецы, каб выглядаць, як падпісана Apple. Гэта азначае, што пры спробе адкрыць ён не запускае Gatekeeper - сістэму бяспекі, усталяваную па змаўчанні ў аперацыйнай сістэме, якая адказвае за працу незалежных праграм, не правераных Apple.

Звярніце ўвагу, што Gatekeeper не толькі не працаваў, але і антывірусныя сістэмы, распрацаваныя спецыяльна для выяўлення шкоднасных праграм у аперацыйнай сістэме, распрацаванай Apple, таксама не выклікалі трывогі, бо гэтыя прыкладанні, нягледзячы на ​​тое, што не прайшлі кантроль Apple, яны засталіся зусім незаўважанымі таму што, відавочна, ён быў падпісаны паўночнаамерыканскай кампаніяй, якая прымусіла іх праверыць і пазбавіць магчымых недахопаў бяспекі, якія могуць паставіць пад пагрозу прадукцыйнасць і бяспеку абсталявання.

IOS 11 GM выводзіць усе дадзеныя

Нягледзячы на ​​адсутнасць афіцыйных паведамленняў на гэты конт, Apple абнавіла ўсю дакументацыю, даступную распрацоўшчыкам

Каб крыху лепш зразумець гэтую праблему, скажыце, што калі прыкладанне праходзіць праверку бяспекі Apple і прымушае кампанію падпісваць яго ў лічбавым выглядзе, аперацыйная сістэма ўводзіць яго ў своеасаблівы белы спіс заявак, правераных кампаніяй, якія адпавядаюць стандартам самой сістэмы. На гэты момант здаецца, што сапраўдная праблема, якая засталася ў macOS, была не ў самой аперацыйнай сістэме, а ў тым, што вінавата ў дакументацыі, якую распрацоўшчыкі мелі для падпісання прыкладанняў ад Apple.

На падставе заяў, зробленых Патрык Уордл, адзін з распрацоўшчыкаў, якому ўдалося выявіць гэты небяспечны недахоп бяспекі ў macOS:

На думку даследчыкаў, механізм, які многія інструменты бяспекі macOS выкарыстоўваюць з 2007 года для праверкі лічбавых подпісаў, быў трывіяльным. У выніку камусьці ўдалося перадаць шкоднасны код у якасці прыкладання, падпісанага ключом, які Apple выкарыстоўвае для падпісання сваіх прыкладанняў.

Каб было зразумела, гэта не ўразлівасць і не памылка ў кодзе Apple ... у асноўным гэта віна незразумелай і заблытанай дакументацыі, якая прымусіла людзей злоўжываць сваім API

Па-відаць, ад Apple яны працавалі над тым, як вырашыць гэтую праблему, які, здаецца, ужо быў адрамантаваны, калі прыняць да ўвагі, што кампанія цалкам абнавіла даступную для распрацоўшчыкаў дакументацыю, скончыўшы тым самым вельмі важнай праблемай бяспекі, якая ўзнікала ва ўсіх карыстальнікаў MacOS больш-менш каля 11 гадоў.


Змест артыкула адпавядае нашым прынцыпам рэдакцыйная этыка. Каб паведаміць пра памылку, націсніце тут.

Будзьце першым, каб каментаваць

Пакіньце свой каментар

Ваш электронны адрас не будзе апублікаваны. Абавязковыя для запаўнення палі пазначаныя *

*

*

  1. Адказны за дадзеныя: Мігель Анхель Гатон
  2. Прызначэнне дадзеных: Кантроль спаму, кіраванне каментарыямі.
  3. Легітымнасць: ваша згода
  4. Перадача дадзеных: Дадзеныя не будуць перададзены трэцім асобам, за выключэннем юрыдычных абавязкаў.
  5. Захоўванне дадзеных: База дадзеных, размешчаная Occentus Networks (ЕС)
  6. Правы: у любы час вы можаце абмежаваць, аднавіць і выдаліць сваю інфармацыю.