image

Apple-patch voor Mac-beveiliging schiet weer tekort

zaterdag 16 januari 2016, 07:02 door Redactie, 18 reacties

Een onderzoeker heeft weer tekortkomingen in een Apple-patch voor Gatekeeper op Mac OS X ontdekt, waardoor hij de beveiligingsmaatregel wederom kan omzeilen. Vorig jaar juni rapporteerde onderzoeker Patrick Wardle aan Apple een probleem in Gatekeeper. De beveiligingsmaatregel moet Mac OS X beschermen tegen het uitvoeren van kwaadaardige of onbetrouwbare applicaties van het internet.

Standaard staat Gatekeeper zo ingesteld om alleen apps uit de Mac App Store en van geïdentificeerde ontwikkelaars toe te staan. In dit laatste geval gaat het om ontwikkelaars die over een geldig Apple Developer ID-certificaat beschikken. Gebruikers kunnen Gatekeeper ook instellen om alle apps toe te staan of alleen apps die uit de Mac App Store komen. Wardle ontdekte echter een manier om Gatekeeper te omzeilen. De beveiligingsmaatregel blijkt namelijk niet te controleren of een goedgekeurde app andere apps of code uit dezelfde of een aanverwante directory laadt.

Een aanvaller kan bijvoorbeeld een installatieprogramma of zip-bestand maken dat zodra de gebruiker het opent, een door Gatekeeper gecontroleerd en goedgekeurd bestand laadt. Dit bestand zoekt vervolgens naar het kwaadaardige bestand dat ook in het zip-bestand of installatieprogramma aanwezig is en voert het uit, zonder dat Gatekeeper alarm slaat. Apple patchte het probleem in oktober, maar zette alleen de bestanden die Wardle voor zijn demonstratie gebruikte op een blacklist. De onderzoeker wist de update van Apple dan ook in zo'n 30 seconden met andere bestanden te omzeilen en meldde dit in december van vorig jaar aan het softwarebedrijf.

Apple heeft deze week wederom een update uitgebracht om het probleem te verhelpen, die weer tekortschiet. Dit keer probeert Apple de bestanden via XProtect te stoppen, de in OS X ingebouwde anti-malwarescanner. Volgens Wardle zijn er echter allerlei applicaties waarmee het probleem kan worden uitgebuit en hij heeft Apple's laatste poging zodoende weer verslagen, zo vertelt hij tegenover ThreatPost. De onderzoeker stelt dat Apple dan ook beter een uitgebreidere update kan uitbrengen die het probleem volledig oplost. Aanstaande zondag zal Wardle zijn onderzoek tijdens de ShmooCon conferentie presenteren. Op de website van het bedrijf waarvoor hij werkt heeft hij een korte demonstratie gepubliceerd.

Reacties (18)
16-01-2016, 16:09 door karma4 - Bijgewerkt: 16-01-2016, 17:18
Hoe kan dat nu? alles is toch perfect bij ze....
16-01-2016, 19:17 door [Account Verwijderd]
[Verwijderd]
16-01-2016, 19:32 door [Account Verwijderd]
Door Buran:
Door karma4: Hoe kan dat nu? alles is toch perfect bij ze....

Alweer zo'n nutteloze bijdrage van karma4.
Manneke, ga iets zinnigs doen i.p.v. alle andere OS'en dan Winodws af te lopen zeiken.

Niet reageren is de beste remedie. Security.nl verandert anders langzamerhand in een jeer & troll site. En dat is erg jammer!
16-01-2016, 19:47 door [Account Verwijderd]
[Verwijderd]
16-01-2016, 20:14 door Anoniem
Door Buran:
Door Aha:
Door Buran:
Door karma4: Hoe kan dat nu? alles is toch perfect bij ze....

Alweer zo'n nutteloze bijdrage van karma4.
Manneke, ga iets zinnigs doen i.p.v. alle andere OS'en dan Winodws af te lopen zeiken.

Niet reageren is de beste remedie. Security.nl verandert anders langzamerhand in een jeer & troll site. En dat is erg jammer!

Je hebt natuurlijk gelijk maar sommige figuren komen me echt de strot uit.

Nogal hypocriet om allemaal te gaan klagen over iemand die niet inhoudelijk reageert en verder zelf niet on-topic te gaan.

On-topic: Apple is net als alle andere bedrijven met closed-source software vatbaar voor dit soort dingen, dit verbaasd me dus niets.
Als je in een wereld leeft waarin je denkt dat je veilig bent op een computer verbonden met het internet leef je in een fantasiewereld. Gebruik je OS niet voor zeer gevoelige data, wil je dit wel doen, stap dan over naar een by-default veilig OS zoals Linux en lees je daarnaast ook in in beveiligingstips, hou security forums actueel bij, doe een dagelijkse update check, en encrypt alle gegevens waar je niet dagelijks bij hoeft om de schade bij diefstal te beperken.
16-01-2016, 21:32 door Briolet
En hoe schadelijk is dit probleem. Het gaat om een programma van een, door Apple als betrouwbaar aangemerkte auteur, die een niet geautoriseerd programma kan starten.

Als zo'n goed bevonden auteur kwaad wil, kan hij dat ook van binnen uit zijn eigen applicatie. Het lijkt me in elk geval een 'low risk' probleem.
16-01-2016, 21:52 door karma4
Door Anoniem:
Nogal hypocriet om allemaal te gaan klagen over iemand die niet inhoudelijk reageert en verder zelf niet on-topic te gaan.

On-topic: Apple is net als alle andere bedrijven met closed-source software vatbaar voor dit soort dingen, dit verbaasd me dus niets.
Als je in een wereld leeft waarin je denkt dat je veilig bent op een computer verbonden met het internet leef je in een fantasiewereld. Gebruik je OS niet voor zeer gevoelige data, wil je dit wel doen, stap dan over naar een by-default veilig OS zoals Linux en lees je daarnaast ook in in beveiligingstips, hou security forums actueel bij, doe een dagelijkse update check, en encrypt alle gegevens waar je niet dagelijks bij hoeft om de schade bij diefstal te beperken.

Prima reactie hoor. Was ik een beetje op uit.
Er zijn genoeg reacties te zien waar het alleen maar afgeven is zonder met inhoudelijke argumenten te komen.
Alle software en systemen hebben hun gebreken en tekortkomingen. Beweren dat iets per definitie veilig is is een verkeerde insteek.

Iot is inmiddels bijna synoniem als tekort een security data beveiligingsopties. (Voornamelijk linux varianten)
De big data wereld met Linux software (php websites mongodb) gebrek aan data governance eb security.
Kennelijk is er geen interesse wat er met data gebeurt zolang het eigen os speeltje maar heilig is.
16-01-2016, 22:32 door [Account Verwijderd]
Door karma4:
Door Anoniem:
Nogal hypocriet om allemaal te gaan klagen over iemand die niet inhoudelijk reageert en verder zelf niet on-topic te gaan.

On-topic: Apple is net als alle andere bedrijven met closed-source software vatbaar voor dit soort dingen, dit verbaasd me dus niets.
Als je in een wereld leeft waarin je denkt dat je veilig bent op een computer verbonden met het internet leef je in een fantasiewereld. Gebruik je OS niet voor zeer gevoelige data, wil je dit wel doen, stap dan over naar een by-default veilig OS zoals Linux en lees je daarnaast ook in in beveiligingstips, hou security forums actueel bij, doe een dagelijkse update check, en encrypt alle gegevens waar je niet dagelijks bij hoeft om de schade bij diefstal te beperken.

Prima reactie hoor. Was ik een beetje op uit.
Er zijn genoeg reacties te zien waar het alleen maar afgeven is zonder met inhoudelijke argumenten te komen.
Alle software en systemen hebben hun gebreken en tekortkomingen. Beweren dat iets per definitie veilig is is een verkeerde insteek.

Iot is inmiddels bijna synoniem als tekort een security data beveiligingsopties. (Voornamelijk linux varianten)
De big data wereld met Linux software (php websites mongodb) gebrek aan data governance eb security.
Kennelijk is er geen interesse wat er met data gebeurt zolang het eigen os speeltje maar heilig is.

Als je werkelijk op een onderbouwde reactie uit was zonder specifiek suggestief te zijn had je de allereerste reactie, in dit topic èn van jouw zodanig moeten formuleren. Nu probeer je de aandacht van je suggestieve primaire schrijfsel af te leiden door te stellen dat alle OS vatbaar is voor malware in plaats van 'ze'...
Dat noem ik hypocriet, om een misplaatste terminologie hieraan voorafgaand maar eens correct te hanteren.

On topic: Alle Operating Systems zijn bij tijd en wijle zo lek als een brakke binnenvaartschuit. Het is niet in het belang van enig welke producent dan ook aan deze gaten in de romp té weinig aandacht te besteden. Iedereen kookt gaar in zijn sop op zijn tijd. Dus deze week is OSX aan de beurt om gekielhaald te worden, dan MS en dan weer Linux. Iedereen die dat bestrijdt, ofwel: het ene OS als superieur acht boven het andere, maakt van zichzelf een belachelijke vazal; een willig slachtoffer van de marketing terreur van elke, ik herhaal èlke softwareproducent.
17-01-2016, 07:51 door potshot
Door Buran:
Door karma4: Hoe kan dat nu? alles is toch perfect bij ze....

Alweer zo'n nutteloze bijdrage van karma4.
Manneke, ga iets zinnigs doen i.p.v. alle andere OS'en dan Winodws af te lopen zeiken.

maar windows afzeiken mag wel heh?
want dan ben je politiek correct bezig en hoor je bij de 'insiders' zogenaamd..
17-01-2016, 10:46 door ph-cofi
Door karma4: Hoe kan dat nu? alles is toch perfect bij ze....
Het gespreksmodel van Karma4:
1. Een ongenuanceerde sneer geven afgesloten met "..." ten teken reactie uit te willen lokken.
2. Rustig wachten tot andere sitebezoekers in de verdediding gaan.
3. Terugkomen, gelijk geven (soms excuus maken) en naadloos over met belerende toon dat de anderen zulke ongenuanceerde meningen verkondigen. Daarbij graag off-topic onderwerpen aansnijdend om het eigen punt te versterken. In het verleden wel eens drievoudig of vaker voorzien van externe verwijzingen.

Karma4, ik vraag u in de spiegel te kijken en u zult zien dat u hetzelfde gedrag vertoont als waar u andere van beticht. Ik acht uw bijdragen contraproductief voor een goede dialoog en zal u vanaf heden volkomen negeren. Posten als anoniem zal niet veel helpen, zolang het gespreksmodel herkenbaar blijft.
17-01-2016, 11:57 door Anoniem

On-topic: Apple is net als alle andere bedrijven met closed-source software vatbaar voor dit soort dingen, dit verbaasd me dus niets.

Open source aan zich maakt iets absoluut niet veiliger. Denk aan Heartbleed, GHOST, Shellshock, Grub2/28*backspace lek. Stuk voor stuk bizarre lekken in stukken amateuristisch geschreven, slecht onderhouden, source code die al meer dan een decennia gebruikt worden.
17-01-2016, 19:55 door Anoniem
Door Anoniem:

On-topic: Apple is net als alle andere bedrijven met closed-source software vatbaar voor dit soort dingen, dit verbaasd me dus niets.

Open source aan zich maakt iets absoluut niet veiliger. Denk aan Heartbleed, GHOST, Shellshock, Grub2/28*backspace lek. Stuk voor stuk bizarre lekken in stukken amateuristisch geschreven, slecht onderhouden, source code die al meer dan een decennia gebruikt worden.

Lekken die, omdat het open-source is, altijd vrijwel direct worden gepatched en indien je standaard update instellingen aan hebt staan binnen 24 uur geïnstalleerd zijn op je PC, in plaats van afhankelijk zijn van gigantische integratietests bij Microsoft, Apple en (Google) Android waardoor hackers vanaf het moment dat het bekend is weken lang vrij spel hebben.

Dus het maakt het "absoluut WEL veiliger" aangezien de periodes dat lekken vrij te misbruiken zijn het belangrijkste onderdeel zijn van lekken patchen.
17-01-2016, 19:56 door Anoniem
Door Anoniem:

On-topic: Apple is net als alle andere bedrijven met closed-source software vatbaar voor dit soort dingen, dit verbaasd me dus niets.

Open source aan zich maakt iets absoluut niet veiliger. Denk aan Heartbleed, GHOST, Shellshock, Grub2/28*backspace lek. Stuk voor stuk bizarre lekken in stukken amateuristisch geschreven, slecht onderhouden, source code die al meer dan een decennia gebruikt worden.

1 quote uit een complete post halen en uit context trekken draagt trouwens totaal niet bij aan een discussie.
18-01-2016, 00:03 door [Account Verwijderd]
[Verwijderd]
18-01-2016, 03:49 door Anoniem
Heb een beetje moeite met die Patrick Wardle aangezien hij bij Synack werkt en die onderneming heeft er in commerciële zin baat bij gaten te vinden en die te exploiteren. Het is allesbehalve altruïstisch wat Wardle doet.
18-01-2016, 11:43 door Anoniem
Lekken die, omdat het open-source is, altijd vrijwel direct worden gepatched en indien je standaard update instellingen aan hebt staan binnen 24 uur geïnstalleerd zijn op je PC, in plaats van afhankelijk zijn van gigantische integratietests bij Microsoft, Apple en (Google) Android waardoor hackers vanaf het moment dat het bekend is weken lang vrij spel hebben.

Dus het maakt het "absoluut WEL veiliger" aangezien de periodes dat lekken vrij te misbruiken zijn het belangrijkste onderdeel zijn van lekken patchen.

1 quote uit een complete post halen en uit context trekken draagt trouwens totaal niet bij aan een discussie

Alleen al Heartbleed heeft 12+ jaar in OpenSSL gezet en daarmee in bijna alles wat een Linux kern heeft. Niet opgemerkt, niet getest, en zeker niet verholpen in 24 uur (ook niet nadat het ontdekt was, veel appliances bleven nl. nog maanden kwetsbaar of bleken niet (meer) ondersteund te worden). Dit is niet uit context maar simpelweg de realiteit. Niet testen, wat jij als voordeel aangeeft, is in mijn ogen eerder een serieus nadeel. Open source lost aan zich niets op, closed source trouwens ook niet direct. Het is in mijn ogen een niet volwaardig antwoord op de vragen aangaande software veiligheid, open standaarden en continuïteit.
18-01-2016, 17:19 door Anoniem
Er wordt aan gewerkt!

https://threatpost.com/apples-targeted-gatekeeper-bypass-patch-leaves-os-x-users-exposed/115887/
Wardle said that Apple told him that its fix was a “very targeted patch” and that it was working on a comprehensive solution.

“They have some legacy concerns, they don’t want to break existing stuff,” Wardle said.
Maar Wardle kan uit eigenbelang gewoon niet wachten en grijpt een tussenpatch (in de vorm van een update van de Xprotect lijst met een extra malwareexemplaar, JavaW ?) die niet te vergelijken is met een eindpatch aan om nog een keer een heleboel publiciteit voor zichzelf, zijn eigen bedrijf en zijn eigen producten te genereren.

Ten aanzien van het probleem

Gatekeeper is niet de enige maatregel op het systeem van Apple om gebruikers te proberen meer te beschermen.
Daarnaast beweert niemand dat de maatregelen op een Apple systeem volledig te vergelijken zijn met de functionaliteit die uitgebreide AV pakketten kunnen bieden, netzomin als de maatregelen die bijvoorbeeld onder een OS als Windows dat kunnen bieden.
Het wordt dan ook door beide fabrikanten niet beweerd, de maatregelen beschermen redelijkerwijze (als het goed is) tegen een bepaalde mate van meeste of een aantal heel bekende vormen van aanvallen.
In het geval van Apple dan.

Wardle heeft daar een gat in ontdekt en Apple werkt aan een patch die nog niet klaar is.
In de tussentijd pakt Wardle de ruimte om zijn eigen apps in de aanbieding te gooien en probeert zoveel mogelijk het door Apple gegeven antwoord te negeren waarin de constatering van Wardle al impliciet aanwezig is : een zeer gerichte oplossing.

Verder zou je kunnen discussiëren of de manier waarop software van code wordt gecontroleerd een goede is.
Er wordt gecontroleerd op certificaat en Id.
Dit laat ruimte over voor andere vormen van aanval, namelijk het toevoegen van extra malware code aan een app..

Wardle geeft een voorbeeld waar natuurlijk niemand het hier verder over heeft, namelijk het gevaar van software aanbieden over http-verbindingen in plaats van https verbindingen en noemt Kaspersky software als een voorbeeld daarvan, kijk maar naar het filmpje.
Er kan dus onderweg, via MitM, malwarecode worden toegevoegd die dan op de door Wardle ontdekte wijze Gatekeeper zou kunnen passeren.
MitM, groot probleem, voortdurend aan de hand als het gaat om software?

Maar dan nog,
een gebruiker kan en moet zelf de moeite nemen om bijvoorbeeld het bijgeleverde sha (zag het niet bij Kaspersky) van gedownloade software controleren waarmee gecorrumpeerde software dan ook door de mand zou vallen omdat het sha niet klopt.

Het zou dan ook voor de hand liggen als :

- software aanbieders software alleen nog over https gaan aanbieden
- Apple en gebruikers (!) ook sha waarden gaan controleren van gedownloade software

Dan rest nog de vraag hoe en waar de sha waarden voor controle aan te bieden.

Vertrouwen in integriteit?
Wardle heeft ook een eigen oplossing met een appje.
Daar moet je zin in hebben om software van iemand te gebruiken die meer dan iets te graag publiciteit zoekt om zichzelf en zijn producten in het zonnetje te zetten.
Gebruikers zijn namelijk in principe het kind van de rekening van dit soort onderzoekers.

Wardle roept namelijk bijna impliciet op om er misbruik van te gaan maken en ook de leugen niet schuwt.
“I wouldn’t be surprised if hackers and adversaries would do a similar thing,” Wardle said. “It’s a nice way to infect Mac users. Before Gatekeeper came around, there were a lot of Mac Trojans infecting Mac users, which is why A created Gatekeeper.”
Hij heeft in ieder geval bereikt dat malware makers, die wel opletten, ongetwijfeld dit nieuws ter ore is gekomen, en doorsnee gebruikers, die minder opletten in de zin van dat ze security nieuws volgen wel extra kwetsbaar worden maar niet extra maatregelen nemen.

En voordat Gatekeeper werd geïntroduceerd waren er helemaal geen vele trojans die mac gebruikers infecteerden, dat is pertinent onjuist maar meneer heeft toch het podium gehad om het te kunnen zeggen, dat eigenbelang podium wordt vaker beklommen uit de AV hoek.

Wat wel zo is, er komen er jaarlijks slechts een klein handjevol malware exemplaren bij (adware niet meegerekend) die ook weer op een of andere wijze met tegenmaatregelen door Apple en anderen worden tegengewerkt.

Hoewel belangrijk dat een kwetsbaarheid is gevonden is het verder business as usual met een hoop publicitaire tamtam en vooralsnog een gebrek aan interesse van uit de malware makers kant, ondanks dat ze met enige regelmaat vanuit de 'goede kant' zaken op een publicitair presenteerblaadje krijgen aangereikt.

Onderzoek naar Mac OS X doen is onderhand meer ingegeven door een hoge publicitaire wens en status dan werkelijk het beste voor hebben met de producten van Apple en de security van haar gebruikers, die, ondanks dit, wederom gemiddeld genomen veel minder malware slachtoffers kent dan sommige andere OS-en.
Daarom is het niet verwonderlijk dat er veel mensen toch besluiten met Mac OS X te gaan werken, het scheelt een enorme hoop tijd aan stress en gezeik wat je weer overhoudt voor leuke dingen.

Daarom gebruiken steeds meer mensen Apple producten.
Naast dat het oog ook wat wil.

;)
19-01-2016, 15:55 door Anoniem
Door Buran:
Door karma4: Hoe kan dat nu? alles is toch perfect bij ze....

Alweer zo'n nutteloze bijdrage van karma4.
Manneke, ga iets zinnigs doen i.p.v. alle andere OS'en dan Winodws af te lopen zeiken.

Zo raar en off-topic is die reactie niet.
Apple fans schermen maar wat vaak met het 'feit' dat OSX niet vatbaar is voor troep.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.