Apple исправила 11-летнюю брешь в безопасности macOS

MacOS

В настоящее время мы очень привыкли к тому, что практически каждый день выявляются недостатки безопасности, которые либо вовремя обнаруживаются различными фирмами, которые профессионально этим занимаются, либо напрямую используются различными компаниями, попутно компрометируя данные миллионов пользователей, которые пользуйтесь этими услугами ежедневно и смотрите, как их идентификаторы и личные данные продаются тому, кто предложит самую высокую цену в глубоком Интернете.

На этот раз мы должны поговорить об Apple, компания, чьи продукты всегда считались некоторыми пользователями безопасными или, скорее,неинтересный' для других. Я говорю, что это малоинтересно, потому что количество пользователей, которые 10 лет назад использовали компьютер Apple, было практически незначительным по сравнению с пользователями, которые использовали другие операционные системы в то время, например Windows или Linux, что заставляло людей, склонных брать Преимущество такого рода недостатков обычно заключается в атаке на эту операционную систему, поскольку влияние их программного обеспечения будет намного больше.

Подпись Apple

Обнаруженная проблема не типична для macOS, а скорее для документации, предоставленной самой Apple.

Обращаясь к деталям, мы должны сосредоточить внимание на проблеме, которая существует более 11 лет в операционной системе macOS, что гораздо серьезнее, чем вы можете себе представить, поскольку любой тип вредоносного приложения может воспользуйтесь этой дырой в безопасности, чтобы появиться как подписанный Apple. Это означает, что при попытке открытия он не запускает Gatekeeper, систему безопасности, установленную по умолчанию в операционной системе и отвечающую за запуск сторонних приложений, не проверенных Apple.

Обратите внимание, что не только не работал Gatekeeper, но и антивирусные системы, разработанные специально для обнаружения вредоносных программ в операционной системе, разработанной Apple, также не вызвали тревогу, поскольку эти приложения, несмотря на то, что они не прошли тщательную проверку Apple, они остались совершенно незамеченными Потому что, очевидно, казалось, что он был подписан североамериканской компанией, которая проверила их и избавила от возможных недостатков безопасности, которые могут поставить под угрозу производительность и безопасность оборудования.

IOS 11 GM утечка всех данных

Несмотря на отсутствие официального объявления по этому поводу, Apple обновила всю документацию, доступную для разработчиков.

Чтобы лучше понять эту проблему, скажите вам, что когда приложение проходит проверку безопасности Apple и заставляет компанию подписать его цифровой подписью, операционная система вводит его в своего рода белый список проверенных компанией приложений, соответствующих стандартам самой системы. На данный момент кажется, что настоящая проблема, которая возникла в macOS, заключалась не в самой операционной системе, а в том, что это была ошибка документации, которую разработчики имели для подписи приложений Apple.

На основании заявлений, сделанных Патрик Уордл, один из разработчиков, которому удалось обнаружить этот опасный недостаток безопасности в macOS:

По словам исследователей, механизм, который многие инструменты безопасности macOS использовали с 2007 года для проверки цифровых подписей, был тривиальным. В результате кто-то мог передать вредоносный код, например приложение, которое было подписано ключом, который Apple использует для подписи своих приложений.

Чтобы было ясно, это не уязвимость или ошибка в коде Apple ... в основном это вина нечеткой и запутанной документации, которая заставляла людей злоупотреблять их API.

Судя по всему, Apple какое-то время работала над решением этой проблемы., который, похоже, уже был отремонтирован, если принять во внимание, что компания полностью обновила документацию, доступную для разработчиков, что привело к очень серьезной проблеме безопасности, с которой все пользователи macOS сталкивались более или менее около 11 лет.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.