Een onderzoeker heeft een manier ontdekt waardoor kwaadaardige code zich kan voordoen als code die van Apple afkomstig is. Ontwikkelaars kunnen hun code signeren, zodat applicaties en gebruikers kunnen controleren dat de code ook echt van de ontwikkelaar afkomstig is die de code heeft gesigneerd.
Beveiligingssoftware, zoals virusscanners, kijken of code gesigneerd is om te bepalen of een bestand betrouwbaar is of niet. Onderzoeker Josh Pitts van securitybedrijf Okta ontdekte een manier waarop het code signing-mechanisme op macOS is te manipuleren, waardoor applicaties denken dat het om code van Apple gaat, terwijl het in werkelijkheid kwaadaardige code betreft.
Het probleem bevindt zich niet in macOS, maar in de manier waarop programma's van derden omgaan met de code signing-api van Apple in combinatie met Fat/Universal-bestanden op de Mac. Een Fat/Universal-bestand is een binair formaat dat verschillende uitvoerbare bestanden kan bevatten. Zodra het eerste bestand in een speciaal geprepareerd Fat/Universal-bestand van Apple afkomstig is, beschouwen sommige applicaties de rest ook als Apple-bestanden.
Onder andere VirusTotal, Googles Santa, Little Snitch, F-Secure xFence (LittleFlocker), KnockKnock, TaskExplorer, Yelp en Carbon Black Cb Response waren kwetsbaar. Pitts waarschuwde Apple, maar het bedrijf liet weten dit niet als een beveiligingsprobleem te zien dat het direct moest oplossen. Daarop besloot de onderzoeker alle bekende kwetsbare derde partijen te informeren, die vervolgens met oplossingen kwamen. Pitts merkt op dat mogelijk ook software van andere ontwikkelaars kwetsbaar is en heeft daarom besloten het probleem openbaar te maken. Het probleem speelt alleen op macOS en oudere OS X-versies.
Deze posting is gelocked. Reageren is niet meer mogelijk.