11 年間存在していたセキュリティ問題により、悪質な Mac アプリが Apple によって署名されているように見せかけられ、それを検出するために設計された多くのツールを欺くことができる可能性がある。

この問題は、Apple の不明確なガイダンスによって引き起こされたもので、個人や企業が使用するさまざまなツールでマルウェアがホワイトリストに登録される可能性があることを意味していました...

ArsTechnica がこの問題について解説しています。

デジタル署名は、あらゆる最新オペレーティングシステムのセキュリティの中核を成す機能です。暗号的に生成された署名により、ユーザーはアプリが信頼できる第三者の秘密鍵でデジタル署名されていることを完全に確信できます。しかし、研究者によると、2007年以降、多くのmacOSセキュリティツールがデジタル署名の確認に使用してきたメカニズムは、簡単に回避できるとのことです。その結果、悪意のあるコードを、Appleがアプリの署名に使用している鍵で署名されたアプリとして偽装することが可能になってしまったのです。

この手法は、i386、x86_64、PPCなど、長年にわたりMacで使用されてきた様々なCPU向けに記述された複数のファイルを含む、FatファイルまたはUniversalファイルとも呼ばれるバイナリ形式を利用していました。バンドル内の最初のMach-OファイルのみがAppleの署名を受けている必要がありました。少なくとも8つのサードパーティ製ツールは、同じバンドルに含まれる他の署名されていない実行コードもAppleの署名付きであると表示しました。影響を受けるサードパーティ製ツールには、VirusTotal、Google Santa、Facebook OSQuery、Little Snitch Firewall（下記参照）、Yelp、OSXCollector、Carbon Blackのdb Response、そしてObjective-Seeの複数のツールが含まれていました。

つまり、PPC向けの正規版アプリとIntel向けのマルウェアを含むファイルがあると、ツールはPPCのホワイトリストをIntel版にも適用してしまう可能性があります。その結果、そのマルウェアはAppleによって署名されているように見せかけられます。

セキュリティ研究者のパトリック・ウォードル氏（自身のObjective-Seeアプリが問題になった）によると、問題はAppleの資料が不明瞭だったことだという。

このバイパスは、署名チェックを機能させる公開プログラミングインターフェースの使用に関して Apple が提供した曖昧なドキュメントとコメントの結果でした。

「誤解のないよう申し上げますが、これはAppleのコードに存在する脆弱性やバグではありません。基本的には、ドキュメントが不明瞭で分かりにくく、ユーザーがAPIを誤って使用してしまう原因となっていただけです」とウォードル氏はArsに語った。「Appleはドキュメントをより分かりやすく更新しました。サードパーティの開発者は、より包括的なフラグ（これは常に利用可能でした）を使ってAPIを呼び出すだけで済みます。」

Apple はドキュメントを明確にしたため、サードパーティ製ツールの開発者が問題を修正することになるはずです。

最新情報：Little Snitchによると、同社のファイアウォールはアプリを有効なものとして表示していたものの、悪意のあるアプリがネットワーク接続を要求した際に不一致をフラグ付けしていたとのことです。この場合、デフォルトの動作では接続がブロックされていました。現在、この問題は修正されており、署名されていないアプリは有効なものとして表示されなくなりました。詳細は同社のブログ投稿をご覧ください。

Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。