Mac OS X nguy cơ bị tấn công mã độc thông qua Gatekeeper

Apple Mac thường được đánh giá an toàn hơn Windows trong việc chống lại virus và mã độc, nhưng một khai thác mới bởi các nhà nghiên cứu đã chứng minh điều ngược lại.

Chúng tôi đã từng cảnh báo tới người dùng một khai thác bypass hoàn toàn một trong những tính năng bảo mật cốt lõi của Mac OS X là Gatekeeper. Apple đã phát hành bản vá vào tháng 11 nhưng một nhà nghiên cứu bảo mật lại tiếp tục phát hiện ra lỗ hổng trong Gatekeeper có thể khai thác theo hướng khác.

Patrick Wardle, cựu nhân viên NSA và hiện là giám đốc công ty Synack cho biết bản vá của Apple rất dễ để bypass chỉ trong một vài phút. Gatekeeper vốn là chức năng diệt mã độc của Apple được ra mắt vào năm 2012. Trước khi thực thi bất kì ứng dụng nào trên OS X, Gatekeeper sẽ thực hiện một loại kiểm tra:

• Kiểm tra chứng chỉ ban đầu của ứng dụng được tải về
• Đảm bảo ứng dụng được kí bởi chỉ chỉ do Apple công nhận
• Đảm bảo ứng dụng có nguồn gốc từ App Store chính thống

Nhưng Gatekeeper chỉ kiểm tra file ứng dụng mà không kiểm tra những file khác trong cùng thư mục. Trong bản vá mới nhất, Apple mới chỉ lập danh sách đen các ứng dụng lợi dụng điều trên để bypass Gatekeeper, hơn là cài đặt một cách kiểm tra mới.

Cách thức này không hiệu quả trong việc ngăn chặn các cuộc tấn công. Wardle đã làm như sau:

• Xác định một file nhị phân đã được kí (File A) dùng để chạy ứng dụng (File B) đặt trong cùng một thư mục.
• Đổi tên File A
• Đổi file B thành một file chứa mã độc

File B sẽ chạy mà không cần chứng chỉ số hoặc chứng chỉ nhà phát triển do Apple cung cấp. Wardle đã báo cáo đến Apple và công ty chỉ chặn file mã độc mới mà Wardle cung cấp – một cách tiếp cận vấn đề thể hiện sự thiếu trách nhiệm. Apple nên đưa ra bản vá một cách toàn diện hơn.

Người dùng được khuyến cáo thận trọng khi tải về ứng dụng từ Internet. Wardle cũng phát hành một công cụ giúp kiểm tra toàn bộ file thực thi và chặn mã độc không đáng tin cậy từ Internet – tải về Ostiarius.

THN