Το προφίλ μας στο Google Plus
0

Επισφαλή τα downloads από το App Store της Apple, ισχυρίζεται ερευνητής

Σε επιθέσεις παρόμοιες με το DLL hijacking των Windows είναι ευπαθές το OS X της Apple, με τους επιτιθέμενους να εκμεταλλεύονται τον τρόπο κατά τον οποίο γίνονται τα downloads από το App Store της εταιρείας.

Επισφαλή τα downloads από το App Store της Apple, ισχυρίζεται ερευνητής

Πρώην ερευνητής στην NSA και στη NASA προειδοποιεί ότι οι βιβλιοθήκες dylib του OS X είναι δυνατόν να αντικαθίστανται από κακόβουλες εκδοχές, οι οποίες παρέχουν στους επιτιθέμενους τα οφέλη που εδώ και 15 χρόνια τους παρέχει το λεγόμενο DLL hijacking στα Windows.

Στο περιθώριο του συνεδρίου CanSecWest στο Vancouver, o Patrick Wardle εξήγησε ότι υπάρχουν τεχνικές διαφορές μεταξύ του DLL hijacking και της αντικατάστασης των βιβλιοθηκών dylib, το αποτέλεσμα όμως είναι ίδιο για τον επιτιθέμενο.

Οι λεγόμενες διαμοιραζόμενες βιβλιοθήκες, όπως είναι τα DDLs στα Windows και τα dylibs στο OS X, δεν εκτελούνται ως αυτόνομες εφαρμογές. Αντίθετα, παρέχουν κώδικα που χρησιμοποιούν πολλές άλλες εφαρμογές κατά το χρόνο εκτέλεσης.

Ο Wardle ανέπτυξε μια τεχνική, την οποία θα παρουσιάσει στις 19 του μήνα στο CanSecWest, ώστε κακόβουλες βιβλιοθήκες dylib να παραμένουν αόρατες για το κατά τα άλλα αυστηρό σύστημα ασφαλείας GateKeeper του OS X. Το GateKeeper ελέγχει την εγκυρότητα των πιστοποιητικών των developers, συγκρίνοντάς τα με ελεγμένα από την Apple hashes που βρίσκονται αποθηκευμένα στο App Store της εταιρείας. Αν μία εφαρμογή δεν έχει αναπτυχθεί από γνωστό developer, τότε το Gatekeeper είναι ικανό να εμποδίσει την εγκατάστασή της.

Η τεχνική που θα παρουσιάσει ο Wardle είναι εφικτή μόνον όταν θύμα και επιτιθέμενος βρίσκονται στο ίδιο δίκτυο, π.χ., μιας εταιρείας ή μιας καφετέριας. Επίσης, ο επιτιθέμενος πρέπει να διαθέτει μια ευπαθή αλλά έγκυρη εφαρμογή, ώστε να αποφύγει τον συναγερμό από πλευράς GateKeeper. Στον δικό του υπολογιστή, γράφοντας ένα κατάλληλο Python script, ο Wardle εντόπισε πληθώρα έγκυρων εφαρμογών που θα μπορούσε να χρησιμοποιήσει ώστε να εγκαταστήσει, τελικά, μια κακόβουλη βιβλιοθήκη dylib στο μηχάνημα του υποψήφιου θύματος. Συνολικά ο Wardle εντόπισε περίπου 150 εφαρμογές, μεταξύ αυτών το Dropbox, τα Word και Excel της Microsoft, το iCloud — ακόμη και το XCode. Όλες αυτές οι εφαρμογές φέρουν βιβλιοθήκες dylib, τις οποίες χρησιμοποιεί πληθώρα άλλων εφαρμογών.

Ο Wardle επεσήμανε ότι η μέθοδός του δεν τροποποιεί την πρωτότυπη εφαρμογή, αλλά χρησιμοποιεί μια αδυναμία της όλης διαδικασίας εγκατάστασης ώστε να περνάει τα κακόβουλα dylibs. Τόνισε, ωστόσο, ότι οι εφαρμογές της ίδιας της Apple που διατίθενται από το App Store δεν μπορούν να χρησιμοποιηθούν στην τεχνική που πρόκειται να παρουσιάσει αναλυτικά.

Πηγή: The Stack

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων