研究人員發(fā)現(xiàn),蘋果公司即將于9月25日發(fā)布的macOS High Sierra中存在安全隱患,攻擊者能繞過macOS High Sierra 10.13中名為“安全內(nèi)核擴(kuò)展加載”(SKEL)的新安全功能,加載惡意內(nèi)核擴(kuò)展。
與Linux和Windows一樣,當(dāng)應(yīng)用程序執(zhí)行需要訪問較低OS版本的操作時,蘋果macOS允許應(yīng)用程序加載第三方內(nèi)部擴(kuò)展。
SKEL旨在改進(jìn)內(nèi)核擴(kuò)展加載過程
如果想在應(yīng)用安裝過程中加載內(nèi)核擴(kuò)展(KEXT文件),開發(fā)人員需使用特殊的內(nèi)核代碼簽名證書為內(nèi)核擴(kuò)展簽名,而蘋果對證書的頒發(fā)機(jī)構(gòu)十分謹(jǐn)慎。
9月25日即將發(fā)布的macOS High Sierra中引入了SKEL功能以改進(jìn)KEXT加載過程安全。當(dāng)應(yīng)用程序試圖加載內(nèi)核擴(kuò)展時,SKEL會顯示彈出窗口。
研究人員發(fā)現(xiàn)可繞過SKEL安全功能
macOS用戶可能會滿意蘋果部署SKEL為改進(jìn)操作系統(tǒng)安全所做的努力。
而知名蘋果安全研究人員兼Synack首席安全研究員Patrick Wardle(帕特里克·沃德爾)卻不這樣看。Wardle聲稱,蘋果最近推出的SKEL系統(tǒng)“只會阻礙非惡意開發(fā)人員”(第三方macOS開發(fā)人員,例如設(shè)計(jì)安全產(chǎn)品的開發(fā)人員)。
Wardle還表示,由于這項(xiàng)功能的實(shí)現(xiàn)存在漏洞,惡意分子可能絲毫不會受SKEL影響。為證明自己的觀點(diǎn),Wardle在Synack網(wǎng)站和個人博客發(fā)布細(xì)節(jié)詳述攻擊者如何繞過macOS High Sierra 中的SKEL保護(hù)功能。Wardle表示,當(dāng)引入這類安全功能時,通常只會將第三方開發(fā)人員和用戶的工作復(fù)雜化,而惡意分子不會受到影響(他們從不循規(guī)蹈矩)。High Sierra中SKEL的實(shí)現(xiàn)缺陷就是最佳例子。
Wardle去年開始調(diào)查KEXT加載繞過技術(shù),并在2016年DEF CON安全大會上詳述了這種技術(shù)。
京公網(wǎng)安備 11010502049343號