Apple naprawia 11-letnią lukę w zabezpieczeniach macOS

MacOS

Obecnie jesteśmy bardzo przyzwyczajeni do tego, że luki w zabezpieczeniach wychodzą na jaw praktycznie każdego dnia, które albo zostały wykryte na czas przez różne firmy, które zajmują się tym zawodowo, albo bezpośrednio wykorzystują w obliczu różnych firm, przypadkowo naruszając dane z miliony użytkowników, którzy codziennie korzystają z tych usług i widzą, jak ich identyfikatory i dane osobowe są sprzedawane oferentowi, który zaoferował najwyższą cenę w głębokim internecie.

Tym razem musimy porozmawiać o Apple, firma, której produkty zawsze były przez niektórych użytkowników postrzegane jako bezpieczne lub raczej jako „nieinteresujący' dla innych. Mówię to mało interesujące, ponieważ liczba użytkowników, którzy 10 lat temu korzystali z komputera Apple, była praktycznie znikoma w porównaniu z użytkownikami, którzy używali w tym czasie innych systemów operacyjnych, na przykład Windows lub Linux, co sprawiło, że ludzie, którzy mają tendencję do Zaletą tego rodzaju błędów jest zazwyczaj atakowanie tego typu systemu operacyjnego, ponieważ wpływ ich oprogramowania będzie znacznie większy.

Podpis Apple

Wykryty problem nie jest typowy dla macOS, ale raczej z dokumentacji dostarczonej przez samo Apple

Bardziej szczegółowo, musimy skupić się na problemie występującym od ponad 11 lat w systemie operacyjnym macOS, który jest znacznie poważniejszy niż można sobie wyobrazić, ponieważ każdy rodzaj złośliwej aplikacji może Skorzystaj z tej luki w zabezpieczeniach, aby wyglądać na podpisaną przez Apple. Oznacza to, że przy próbie otwarcia nie uruchamia Gatekeepera, systemu bezpieczeństwa zainstalowanego domyślnie w systemie operacyjnym i odpowiedzialnego za uruchamianie aplikacji firm trzecich niezweryfikowanych przez Apple.

Zwróć uwagę, że nie tylko Gatekeeper nie działał, ale systemy antywirusowe opracowane specjalnie do wykrywania złośliwego oprogramowania w systemie operacyjnym opracowanym przez Apple również nie podniosły alarmu, ponieważ te aplikacje, mimo że nie przeszły kontroli Apple, przeszli całkowicie niezauważeni ponieważ najwyraźniej wydawało się, że jest podpisany przez firmę północnoamerykańską, co sprawiło, że zostały zweryfikowane i wolne od ewentualnych luk bezpieczeństwa, które mogłyby zagrozić wydajności i bezpieczeństwu sprzętu.

IOS 11 GM wycieka wszystkie dane

Pomimo braku oficjalnego ogłoszenia w tym zakresie, Apple zaktualizował całą dokumentację dostępną dla programistów

Aby nieco lepiej zrozumieć ten problem, powiedz, że gdy aplikacja przejdzie testy bezpieczeństwa Apple i zmusi firmę do podpisania jej cyfrowo, system operacyjny wprowadza ją w rodzaj białej listy zweryfikowanych przez firmę aplikacji, które są zgodne ze standardami samego systemu. W tym momencie wydaje się, że prawdziwym problemem, który tkwił w macOS, nie był w szczególności sam system operacyjny, ale raczej wina była dokumentacja, którą mieli programiści do podpisywania aplikacji przez Apple.

Na podstawie oświadczeń złożonych przez Patrick wartdle, jeden z programistów, któremu udało się odkryć tę niebezpieczną lukę w zabezpieczeniach w macOS:

Zdaniem naukowców mechanizm używany przez wiele narzędzi zabezpieczających macOS od 2007 roku do weryfikacji podpisów cyfrowych jest trywialny. W rezultacie ktoś mógł przekazać złośliwy kod, taki jak aplikacja podpisana kluczem używanym przez Apple do podpisywania aplikacji.

Żeby było jasne, nie jest to luka ani błąd w kodzie Apple ... w zasadzie jest to wina niejasnej i mylącej dokumentacji, która doprowadziła ludzi do niewłaściwego wykorzystania ich API

Najwyraźniej Apple zajęłoby trochę czasu, aby rozwiązać ten problem, który wydaje się już naprawiony, jeśli weźmiemy pod uwagę, że firma całkowicie zaktualizowała dokumentację dostępną dla programistów, kończąc tym samym na bardzo krytycznym problemie bezpieczeństwa, który wszyscy użytkownicy macOS mieli mniej więcej od około 11 lat.


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany.

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.