アプリの起動を Apple によって暗号署名されたものだけ、または Apple とサードパーティの開発者の両方に制限する OS X Gatekeeper 設定に欠陥があることを研究者が発見しました。署名されたアプリは、別の検証段階なしで、マルウェアに置き換えられた他のソフトウェアまたはコンポーネントにアクセスできてしまいます。
「Gatekeeperは最初のアプリケーションのみを検証します」と、エンタープライズ調査会社Synackのリサーチディレクター、パトリック・ウォードル氏は述べている。つまり、悪意のある第三者は、動的ソフトウェアライブラリ、コマンドライン実行ファイル(スクリプトなど)、あるいは同名の別のアプリをすり替えることができるのだ。ウォードル氏のテストでは、署名済みのPhotoshopインストーラーが、マルウェア用に変更された別のディレクトリのプラグインを、何の通知もなく読み込むことがわかった。ウォードル氏はまた、Appleが配布したプログラムでもテストを行ったが、そのプログラムはAppleの要請により開示を拒否した。
この改変されたトロイの木馬ソフトウェアは、依然としてユーザーがダウンロードまたはコピーし、起動する必要があります。「これは単なるゲートキーパーの回避策に過ぎません」とウォードル氏は指摘しますが、知識の浅いユーザーが出所不明のソフトウェアを実行させられる方法は数多く存在します。ダウンロードサイトでは多くの無料ソフトウェアや試用版ソフトウェアが見つかりますが、アドウェアやその他の信頼性の低いソフトウェアが再パッケージ化されています。
しかし、ウォーデル氏は、これはサードパーティの署名付きアプリにも影響するため、ネットワーク接続に侵入できる者なら誰でも、暗号化されていないダウンロードを通じてマルウェアを傍受できる可能性があると指摘しています。これには犯罪者や政府機関も含まれます。
ウォードル氏は今年初め、主要なOS Xセキュリティソフトウェアベンダーからのダウンロードをテストし、ダウンロードに安全なSSL/TLS接続を使用しているベンダーは存在せず、パッケージが改ざんされている場合にユーザーに警告するためにGatekeeperを利用している点を指摘した。「ユーザーは正規のソフトウェアをダウンロードしており、かなりの割合が依然としてHTTP経由で配布されていると言えるでしょう」とウォードル氏は言う。
ウォードル氏は60日以上前にAppleに報告しており、Appleの広報担当者はMacworldに対し、同社が修正に取り組んでいることを確認した。ウォードル氏は10月1日にプラハで開催されるセキュリティカンファレンスで、この研究成果を発表する予定だ。Appleは、Macに直接プッシュできるXProtectマルウェアシグネチャデータベースは、改変されたパッケージが発見された場合に備え、当面の間は使用できるとしている。
AppleのGatekeeper機能は、「システム環境設定」>「セキュリティとプライバシー」 >「一般」タブをクリックすると見つかりますが、そこにGatekeeper機能のラベルは付いていません。「ダウンロードしたAppを許可」から選択するオプションによって、異なるGatekeeperモードが有効になります。Mac App Storeを選択すると、Appleのデジタル証明書で署名されていない、新しくダウンロードまたはコピーされたアプリの起動が制限されます。Mac App Storeと「確認済みの開発者」を選択すると、Appleの開発者プログラムの登録ユーザーが開発し、アプリの署名に使用された有効な証明書を持つアプリにも制限が拡張されます。
ウォードル氏は、このような簡単な攻撃方法が依然として利用可能であることに懸念を示し、Appleに対し、より包括的な変更を強く求めている。これは今年彼が発見した2つ目のGatekeeperバイパスとなる。「私はハワイに住むただのサーファーです」と彼は言う。「Macが私が期待するほど攻撃の標的になっていないのが心配です。」
