Kwaadaardige code kan zich door lek als Apple-code voordoen
Een onderzoeker heeft een manier ontdekt waardoor kwaadaardige code zich kan voordoen als code die van Apple afkomstig is. Ontwikkelaars kunnen hun code signeren, zodat applicaties en gebruikers kunnen controleren dat de code ook echt van de ontwikkelaar afkomstig is die de code heeft gesigneerd.
Beveiligingssoftware, zoals virusscanners, kijken of code gesigneerd is om te bepalen of een bestand betrouwbaar is of niet. Onderzoeker Josh Pitts van securitybedrijf Okta ontdekte een manier waarop het code signing-mechanisme op macOS is te manipuleren, waardoor applicaties denken dat het om code van Apple gaat, terwijl het in werkelijkheid kwaadaardige code betreft.
Het probleem bevindt zich niet in macOS, maar in de manier waarop programma's van derden omgaan met de code signing-api van Apple in combinatie met Fat/Universal-bestanden op de Mac. Een Fat/Universal-bestand is een binair formaat dat verschillende uitvoerbare bestanden kan bevatten. Zodra het eerste bestand in een speciaal geprepareerd Fat/Universal-bestand van Apple afkomstig is, beschouwen sommige applicaties de rest ook als Apple-bestanden.
Onder andere VirusTotal, Googles Santa, Little Snitch, F-Secure xFence (LittleFlocker), KnockKnock, TaskExplorer, Yelp en Carbon Black Cb Response waren kwetsbaar. Pitts waarschuwde Apple, maar het bedrijf liet weten dit niet als een beveiligingsprobleem te zien dat het direct moest oplossen. Daarop besloot de onderzoeker alle bekende kwetsbare derde partijen te informeren, die vervolgens met oplossingen kwamen. Pitts merkt op dat mogelijk ook software van andere ontwikkelaars kwetsbaar is en heeft daarom besloten het probleem openbaar te maken. Het probleem speelt alleen op macOS en oudere OS X-versies.
Fat/Universal bestanden werden gebruikt in de tijd dat Apple van PowerPc processors overstapte naar intel processors.
Dat is medio 2005 en 2006.
Het eerste echte Intel Mac OsX dat alleen op intelMac's draaide en niet meer op PowerPC en ook geen powerpc apps' kon draaien, direct of via de intermediar Rosetta.app (op Snow Leopard 10.6) was OS X 10.7 LION uit 2012.
Daarna was het ook wel in merendeel gedaan met het aanbieden van veel dubbeldik verpakte Fat/Universal app pakketten voor PowerPc en Intel Mac's.
Een oud probleem dat in positieve zin gecompenseerd word door iets anders, namelijk dat er vroeger nog minder tot vrijwel geen Mac malware was.
Tegenwoordig wordt er ietwat vaker aan de deur gerammeld met malafide app's maar komen die Fat/Universal verpakkingen nauwelijks meer voor omdat het onzinnig is die te gebruiken voor hedendaagse MacOs versies.
Het laatste PowerPc Mac OSX was immers Leopard 10.5 uit 2007.
En dat is alweer een jaartje of wat geleden.
Of nogalwat OS versies, 9!
10.14 staat immers te trappelen!
https://en.wikipedia.org/wiki/MacOS_Mojave
https://en.wikipedia.org/wiki/Universal_binary
https://en.wikipedia.org/wiki/Apple%27s_transition_to_Intel_processors
Zoek zelf maar ff de marketshare op van OSX 10.6 / 10.5 en 10.4 .
Eigenlijk alleen interessant dus voor targeted attacks, a.k.a. overheden.
Een even griezelig voorbeeld was eminent In 2014 toen er ook pas na ruim twintig jaar! aandacht besteed werd aan een lek in het Macintosh Os 7
Zie: https://www.engadget.com/2014/02/28/apple-finally-patches-vulnerability-that-led-to-jurassic-park-fi/
Ik heb op mijn iMac ook apps waar een 32-bit en een 64 bit versie gebundeld is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
