Гейткипер (macOS)
Разработчик(и) | Apple Инк. |
---|---|
Первоначальный выпуск | 25 июля 2012 г. |
Операционная система | macOS |
Gatekeeper — это функция безопасности macOS операционной системы от Apple . [ 1 ] [ 2 ] Он обеспечивает подписание кода и проверяет загруженные приложения перед их запуском, тем самым снижая вероятность непреднамеренного запуска вредоносного ПО . Gatekeeper основан на File Quarantine , который был представлен в Mac OS X Leopard (10.5) и расширен в Mac OS X Snow Leopard (10.6). [ 3 ] [ 4 ] Эта функция появилась в версии 10.7.3 Mac OS X Lion как утилита командной строки. Спектл . [ 5 ] [ 6 ] Графический интерфейс пользователя изначально был добавлен в OS X Mountain Lion (10.8), но был перенесен в Lion с обновлением 10.7.5. [ 7 ]
Функции
[ редактировать ]Конфигурация
[ редактировать ]На панели безопасности и конфиденциальности Системных настроек у пользователя есть три варианта, позволяющие загружать приложения:
- Магазин приложений для Mac
- только приложений, загруженных из Mac App Store . Разрешает запуск
- Mac App Store и идентифицированные разработчики
- приложения, загруженные из Mac App Store, и приложения, подписанные сертифицированными разработчиками Apple Позволяет запускать . Это настройка по умолчанию, начиная с Mountain Lion.
- Где угодно
- Разрешает запуск всех приложений. Это фактически отключает Gatekeeper. Это настройка по умолчанию в Lion. Начиная с macOS Sierra (10.12), эта опция по умолчанию скрыта. [ 8 ] [ 9 ]
- Однако эту опцию можно повторно включить, используя команду sudo spctl --master-disable из терминала и выполнив аутентификацию с паролем администратора.
Утилита командной строки spctl предоставляет детальные элементы управления, такие как пользовательские правила и индивидуальные или общие разрешения, а также возможность отключить Gatekeeper. [ 6 ]
Карантин
[ редактировать ]При загрузке приложения определенный расширенный атрибут файла («флаг карантина»). к загруженному файлу можно добавить [ 10 ] Этот атрибут добавляется приложением, которое загружает файл, например веб-браузером или почтовым клиентом , но обычно не добавляется обычным клиентским программным обеспечением BitTorrent , таким как Transmission , и разработчикам приложений необходимо будет реализовать эту функцию в своих приложениях, и он не реализовано системой. Система также может принудительно применять такое поведение для отдельных приложений, используя систему на основе сигнатур под названием Xprotect. [ 11 ]
Исполнение
[ редактировать ]Когда пользователь попытается открыть приложение с таким атрибутом, система отложит выполнение и проверит, является ли оно:
- находится в черном списке,
- подписан кодом Apple или сертифицированным разработчиком, или
- имеет содержимое, подписанное кодом, которое по-прежнему соответствует подписи.
Начиная с Mac OS X Snow Leopard, система ведет два черных списка для выявления известных вредоносных или небезопасных программ. Черные списки периодически обновляются. Если приложение занесено в черный список, то File Quarantine откажется его открывать и порекомендует пользователю перетащить его в Корзину . [ 11 ] [ 12 ]
Гейткипер откажется открывать приложение, если не будут выполнены требования к подписи кода. Apple может отозвать сертификат разработчика, которым было подписано приложение, и предотвратить дальнейшее распространение. [ 1 ] [ 3 ]
Как только приложение пройдет файловый карантин или гейткипер, ему будет разрешено нормально работать и оно не будет подвергаться повторной проверке. [ 1 ] [ 3 ]
Переопределить
[ редактировать ]Чтобы переопределить Gatekeeper, пользователь (действуя в качестве администратора) должен либо переключиться на более мягкую политику на панели безопасности и конфиденциальности Системных настроек, либо разрешить ручное переопределение для конкретного приложения, открыв приложение из контекстного меню или добавив его с помощью Спектл . [ 1 ]
Рандомизация пути
[ редактировать ]Разработчики могут подписывать образы дисков , которые могут быть проверены системой как единое целое. В macOS Sierra это позволяет разработчикам гарантировать целостность всех связанных файлов и не допускать их заражения и последующего распространения злоумышленниками. Кроме того, «рандомизация пути» запускает пакеты приложений по случайному скрытому пути и предотвращает их доступ к внешним файлам относительно их местоположения. Эта функция отключена, если пакет приложения создан из подписанного установочного пакета или образа диска или если пользователь вручную переместил приложение без каких-либо других файлов в другой каталог. [ 8 ]
Подразумеваемое
[ редактировать ]Эффективность и обоснованность Gatekeeper в борьбе с вредоносным ПО были признаны. [ 3 ] но был встречен с оговорками. Исследователь безопасности Крис Миллер отметил, что Gatekeeper проверит сертификат разработчика и сверится со списком известных вредоносных программ только при первом запуске приложения. Вредоносное ПО, уже прошедшее проверку Gatekeeper, не будет остановлено. [ 13 ] Кроме того, Gatekeeper будет проверять только приложения, имеющие флаг карантина. Поскольку этот флаг добавляется другими приложениями, а не системой, любое пренебрежение или невыполнение этого требования не приводит к срабатыванию Gatekeeper. По словам блоггера по безопасности Томаса Рида, клиенты BitTorrent часто нарушают это правило. Флаг также не добавляется, если приложение получено из другого источника, например сетевых ресурсов и USB-накопителей . [ 10 ] [ 13 ] Также были подняты вопросы о процессе регистрации для получения сертификата разработчика и возможности кражи сертификата. [ 14 ]
В сентябре 2015 года исследователь безопасности Патрик Уордл написал об еще одном недостатке, который касается приложений, которые распространяются с внешними файлами, такими как библиотеки или даже HTML- файлы, которые могут содержать JavaScript . [ 8 ] Злоумышленник может манипулировать этими файлами и с их помощью использовать уязвимость в подписанном приложении. Затем приложение и его внешние файлы можно будет повторно распространить, оставив при этом исходную подпись самого пакета приложения. Поскольку Gatekeeper не проверяет такие отдельные файлы, безопасность может быть нарушена. [ 15 ] Благодаря рандомизации пути и подписанным образам дисков Apple предоставила механизмы для решения этой проблемы в macOS Sierra. [ 8 ]
В 2021 году была обнаружена уязвимость, в которой можно было положить #!
в первой строке (без пути интерпретатора ) файла, обойденного Gatekeeper. [ 16 ]
В 2022 году исследователь Microsoft поделился уязвимостью, которая использует формат AppleDouble для установки произвольного списка контроля доступа в обход Gatekeeper. [ 17 ]
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ Перейти обратно: а б с д «OS X: О гейткипере» . Яблоко . 13 февраля 2015 года . Проверено 18 июня 2015 г.
- ^ Зиглер, М.Г. (16 февраля 2012 г.). «Сюрприз! OS X Mountain Lion рычит (для разработчиков сегодня, для всех этим летом)» . ТехКранч . АОЛ Инк . Проверено 3 марта 2012 г.
- ^ Перейти обратно: а б с д Сиракузы, Джон (25 июля 2012 г.). «OS X 10.8 Mountain Lion: обзор Ars Technica» . Арс Техника . стр. 14–15. Архивировано из оригинала 14 марта 2016 года . Проверено 17 июня 2016 г.
- ^ Рид, Томас (25 апреля 2014 г.). «Руководство по вредоносным программам для Mac: как меня защищает Mac OS X?» . Безопасный Мак . Проверено 6 октября 2016 г.
- ^ Ульрих, Йоханнес (22 февраля 2012 г.). «Как протестировать OS X Mountain Lion’s Gatekeeper в Lion» . Центр Интернет-Шторма . Проверено 27 июля 2012 г.
- ^ Перейти обратно: а б "spctl(8)" . Библиотека разработчиков Mac . Яблоко . Проверено 27 июля 2012 г.
- ^ «Об обновлении OS X Lion v10.7.5» . Яблоко . 13 февраля 2015. Архивировано из оригинала 22 сентября 2012 года . Проверено 18 июня 2015 г.
{{cite web}}
: CS1 maint: bot: исходный статус URL неизвестен ( ссылка ) - ^ Перейти обратно: а б с д «Что нового в безопасности» . Разработчик Apple (Видео). 15 июня 2016. В 21:45 . Проверено 17 июня 2016 г.
- ^ Каннингем, Эндрю (15 июня 2016 г.). «Некоторые странные изменения в macOS и iOS 10: съемка в формате RAW, более жесткий Gatekeeper и многое другое» . Арс Техника Великобритания . Архивировано из оригинала 16 июня 2016 года . Проверено 17 июня 2016 г.
- ^ Перейти обратно: а б Рид, Томас (6 октября 2015 г.). «Обход гейткипера Apple» . Лаборатория Малваребайтс . Проверено 17 июня 2016 г.
- ^ Перейти обратно: а б Морен, Дэн (26 августа 2009 г.). «Внутри скрытой защиты Snow Leopard от вредоносных программ» . Макмир . Проверено 30 сентября 2016 г.
- ^ «Насчет вопроса «Вы уверены, что хотите его открыть?» предупреждение (карантин файлов/обнаружение известных вредоносных программ) в OS X» . Поддержка Apple . 22 марта 2016. Архивировано из оригинала 17 июня 2016 года . Проверено 30 сентября 2016 г.
- ^ Перейти обратно: а б Форесман, Крис (17 февраля 2012 г.). «Разработчики Mac: Gatekeeper вызывает беспокойство, но все же дает опытным пользователям контроль» . Арс Техника . Проверено 18 июня 2015 г.
- ^ Чаттерджи, Суроджит (21 февраля 2012 г.). «OS X Mountain Lion Gatekeeper: действительно ли она защищает от вредоносных программ?» . Интернэшнл Бизнес Таймс . Проверено 3 марта 2012 г.
- ^ Гудин, Дэн (30 сентября 2015 г.). «Ужасно простой эксплойт полностью обходит вредоносную программу Gatekeeper для Mac» . Арс Техника . Архивировано из оригинала 20 марта 2016 года . Проверено 17 июня 2016 г.
- ^ Гатлан, Сергей (23 декабря 2021 г.). «Apple исправляет ошибку безопасности macOS, связанную с обходом Gatekeeper» . Пипящий компьютер . Проверено 6 мая 2022 г.
- ^ Гатлан, Сергей (19 декабря 2022 г.). «Microsoft: ошибка Achilles в macOS позволяет хакерам обойти Gatekeeper» . Пипящий компьютер . Проверено 19 декабря 2022 г.