Havebin

Apps

セキュリティ研究者がカスタムURLスキームを使ったmacOSリモートエクスプロイトを指摘c

Havebin
qlamk
0 Comments
セキュリティ研究者がカスタムURLスキームを使ったmacOSリモートエクスプロイトを指摘c
セキュリティ研究者がカスタムURLスキームを使ったmacOSリモートエクスプロイトを指摘c

セキュリティ研究者のパトリック・ウォードル氏は、ドキュメントハンドラーとカスタム URL スキームを使用して macOS ユーザーをリモートから攻撃する方法を詳しく調査しています。これは、上記のスクリーンショットに表示されている「許可しますか?」ポップアップの背後にあります。

Wardle氏は、カスタムAPTがURLスキームを悪用してmacOSターゲットをリモート感染させる方法を解説する。

macOSでは、アプリケーションは様々なドキュメントタイプやカスタムURLスキームをサポート(または「処理」)できることを「アドバタイズ」できます。これは、アプリケーションが「ユーザーがfooタイプのドキュメントやbarスキームのURLを開こうとしたら、それを処理します!」と宣言しているようなものです。

macOSでこのような現象に遭遇したことがあるでしょう。例えば、.pdf文書をダブルクリックすると、 Preview.appが起動して文書を処理します。また、ブラウザでMac App Storeにあるアプリケーションへのリンクをクリックすると、App Store.appが起動してリクエストを処理します。

Wardle 氏は、開発の観点からこれらのスキームがどのように設定されているかを詳しく調べ、次にカスタム URL スキームを使用して Mac ユーザーをリモートでターゲットにする方法を調べます。

まず、ユーザーが悪意のあるウェブサイトにアクセスすると、Appleが「安全な」ファイルの自動ダウンロードと解凍を許可しているため、.zipファイルが自動的にダウンロードされます。このzipファイルには、問題の悪意のあるアプリケーションが含まれています。そして、そこからカスタムURLスキームが登録されます。

ターゲットが悪意のあるウェブサイトにアクセスすると、悪意のあるアプリケーションを含むアーカイブ( .zip )ファイルのダウンロードが開始されます。MacユーザーがSafariを使用している場合、Appleは「安全な」ファイルを自動的に開くことを推奨しているため、アーカイブは自動的に解凍されます。これは非常に重要な点です。なぜなら、悪意のあるアプリケーション(単なる圧縮されたzipアーカイブではなく)がユーザーのファイルシステム上に存在し、カスタムURLスキームハンドラーの登録が実行されるからです。Appleに感謝します!

このとき、Safariは、問題のウェブページを開く際に、そのURLスキームを処理するアプリケーションを許可するかどうかをユーザーに確認します。この場合、そのアプリケーションとは、先ほどダウンロードした悪意のあるアプリケーションです。Safariはユーザーに「許可」または「キャンセル」を促しますが、確認メッセージの内容は攻撃者によって制御されているため、簡単に騙されてしまう可能性があります。

macOSは裏で、このカスタムURLスキームのハンドラー(もちろん、ダウンロードしたばかりの悪意のあるアプリケーション)を検索します。この検索が完了すると、OSはURLリクエストを処理するために悪意のあるアプリケーションを起動しようとします。

ただし、引用符の間の文字はアプリケーションの名前であるため、攻撃者が制御します。したがって、このポップアップを平凡で威圧感のない、または面白いものに見せることは簡単です。

ファイル隔離もユーザーに確認を求めますが、この場合もアプリケーションの名前は開発者によって制御されます。

ここで当然浮かぶのは、そもそもなぜGateKeeperがダウンロードを許可するのかということです。Wardle氏は、GateKeeperは署名されたアプリケーションを許可しており、昨今のmacOSマルウェアのほとんどが署名されていると説明しています。

Gatekeeperはデフォルト設定では署名済みのアプリケーションを許可します。WINDSHIFT APTグループが使用したマルウェアは署名済みでした(最近のMacマルウェアのほとんどが署名済みです)。つまり、Gatekeeperは機能しません。

これは必ずしも新たなセキュリティホールというわけではなく、ユーザーによる操作も必要ですが、macOSユーザーが取れる最善の保護策は、ダウンロードしたファイルの自動解凍を無効にすることです。Safariのヘッダーにある「環境設定」をクリックし、「一般」タブを選択して、「ダウンロード後に「安全な」ファイルを開く」チェックボックスをオフにしてください。

この問題に関する詳細は、Wardle 氏のブログ記事全文でこちらからご覧いただけます。

Appleのニュースをもっと知りたい方は、YouTubeで9to5Macを購読してください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like