Гейткипер (macOS)

привратник
Разработчик(и)	Apple Инк.
Первоначальный выпуск	25 июля 2012 г.
Операционная система	macOS

Gatekeeper — это функция безопасности macOS операционной системы от Apple . ^[1]^[2] Он обеспечивает подписание кода и проверяет загруженные приложения перед их запуском, тем самым снижая вероятность непреднамеренного запуска вредоносного ПО . Gatekeeper основан на карантине файлов , который был представлен в Mac OS X Leopard (10.5) и расширен в Mac OS X Snow Leopard (10.6). ^[3]^[4] Эта функция появилась в версии 10.7.3 Mac OS X Lion как утилита командной строки. Спектл . ^[5]^[6] Графический интерфейс пользователя изначально был добавлен в OS X Mountain Lion (10.8), но был перенесен в Lion с обновлением 10.7.5. ^[7]

Функции

Конфигурация

Снимок экрана приложения «Системные настройки» OS X Yosemite, показывающий три параметра Gatekeeper в виде переключателей. — Параметры гейткипера в приложении «Системные настройки» . Начиная с macOS Sierra , опция «Где угодно» по умолчанию скрыта.

На панели безопасности и конфиденциальности Системных настроек у пользователя есть три варианта, позволяющие загружать приложения:

Магазин приложений для Mac: только приложений, загруженных из Mac App Store . Разрешает запуск
Mac App Store и идентифицированные разработчики: приложения, загруженные из Mac App Store, и приложения, подписанные сертифицированными разработчиками Apple Позволяет запускать . Это настройка по умолчанию, начиная с Mountain Lion.
Где угодно: Разрешает запуск всех приложений. Это фактически отключает Gatekeeper. Это настройка по умолчанию в Lion. Начиная с macOS Sierra (10.12), эта опция по умолчанию скрыта. ^[8]^[9]; Однако эту опцию можно повторно включить, используя команду sudo spctl --master-disable из терминала и выполнив аутентификацию с паролем администратора.

Утилита командной строки spctl предоставляет детальные элементы управления, такие как пользовательские правила и индивидуальные или общие разрешения, а также возможность отключить Gatekeeper. ^[6]

Карантин

При загрузке приложения определенный расширенный атрибут файла («флаг карантина»). к загруженному файлу можно добавить ^[10] Этот атрибут добавляется приложением, которое загружает файл, например веб-браузером или почтовым клиентом , но обычно не добавляется обычным клиентским программным обеспечением BitTorrent , таким как Transmission , и разработчикам приложений необходимо будет реализовать эту функцию в своих приложениях, и он не реализовано системой. Система также может принудительно навязать такое поведение отдельным приложениям, используя систему на основе сигнатур под названием Xprotect. ^[11]

Исполнение

Скриншот системного оповещения, информирующего пользователя о том, что приложение невозможно открыть, поскольку оно не подписано зарегистрированным разработчиком. — Снимок экрана: системное предупреждение , которое появляется, когда Gatekeeper препятствует запуску приложения, поскольку оно не было подписано сертифицированным разработчиком Apple.

Когда пользователь попытается открыть приложение с таким атрибутом, система отложит выполнение и проверит, является ли оно:

находится в черном списке,
подписан кодом Apple или сертифицированным разработчиком, или
имеет содержимое, подписанное кодом, которое по-прежнему соответствует подписи.

Начиная с Mac OS X Snow Leopard, система ведет два черных списка для выявления известных вредоносных или небезопасных программ. Черные списки периодически обновляются. Если приложение занесено в черный список, то File Quarantine откажется его открывать и порекомендует пользователю перетащить его в Корзину . ^[11]^[12]

Гейткипер откажется открывать приложение, если не будут выполнены требования к подписи кода. Apple может отозвать сертификат разработчика, которым было подписано приложение, и предотвратить дальнейшее распространение. ^[1]^[3]

Как только приложение пройдет файловый карантин или гейткипер, ему будет разрешено нормально работать и оно не будет подвергаться повторной проверке. ^[1]^[3]

Переопределить

Чтобы переопределить Gatekeeper, пользователь (действуя в качестве администратора) должен либо переключиться на более мягкую политику на панели безопасности и конфиденциальности Системных настроек, либо разрешить ручное переопределение для конкретного приложения, открыв приложение из контекстного меню или добавив его с помощью Спектл . ^[1]

Рандомизация пути

Разработчики могут подписывать образы дисков , которые могут быть проверены системой как единое целое. В macOS Sierra это позволяет разработчикам гарантировать целостность всех связанных файлов и не допускать их заражения и последующего распространения злоумышленниками. Кроме того, «рандомизация пути» запускает пакеты приложений по случайному скрытому пути и предотвращает их доступ к внешним файлам относительно их местоположения. Эта функция отключена, если пакет приложения создан из подписанного установочного пакета или образа диска или если пользователь вручную переместил приложение без каких-либо других файлов в другой каталог. ^[8]

Подразумеваемое

Эффективность и обоснованность Gatekeeper в борьбе с вредоносным ПО были признаны. ^[3] но был встречен с оговорками. Исследователь безопасности Крис Миллер отметил, что Gatekeeper проверит сертификат разработчика и сверится со списком известных вредоносных программ только при первом открытии приложения. Вредоносное ПО, уже прошедшее проверку Gatekeeper, не будет остановлено. ^[13] Кроме того, Gatekeeper будет проверять только приложения, имеющие флаг карантина. Поскольку этот флаг добавляется другими приложениями, а не системой, любое пренебрежение или невыполнение этого требования не приводит к срабатыванию Gatekeeper. По словам блоггера по безопасности Томаса Рида, клиенты BitTorrent часто нарушают это правило. Флаг также не добавляется, если приложение получено из другого источника, например сетевых ресурсов и USB-накопителей . ^[10]^[13] Также были подняты вопросы о процессе регистрации для получения сертификата разработчика и возможности кражи сертификата. ^[14]

В сентябре 2015 года исследователь безопасности Патрик Уордл написал об еще одном недостатке, который касается приложений, которые распространяются с внешними файлами, такими как библиотеки или даже HTML- файлы, которые могут содержать JavaScript . ^[8] Злоумышленник может манипулировать этими файлами и с их помощью использовать уязвимость в подписанном приложении. Затем приложение и его внешние файлы можно будет повторно распространить, оставив при этом исходную подпись самого пакета приложения. Поскольку Gatekeeper не проверяет такие отдельные файлы, безопасность может быть нарушена. ^[15] Благодаря рандомизации пути и подписанным образам дисков Apple предоставила механизмы для решения этой проблемы в macOS Sierra. ^[8]

В 2021 году была обнаружена уязвимость, в которой можно было положить #! в первой строке (без пути интерпретатора ) файла, обойденного Gatekeeper. ^[16]

В 2022 году исследователь Microsoft поделился уязвимостью, которая использует формат AppleDouble для установки произвольного списка контроля доступа в обход Gatekeeper. ^[17]

См. также

Ссылки

^ Перейти обратно: ^а ^б ^с ^д «OS X: О гейткипере» . Яблоко . 13 февраля 2015 года . Проверено 18 июня 2015 г.
^ Зиглер, М.Г. (16 февраля 2012 г.). «Сюрприз! OS X Mountain Lion рычит (для разработчиков сегодня, для всех этим летом)» . ТехКранч . АОЛ Инк . Проверено 3 марта 2012 г.
^ Перейти обратно: ^а ^б ^с ^д Сиракузы, Джон (25 июля 2012 г.). «OS X 10.8 Mountain Lion: обзор Ars Technica» . Арс Техника . стр. 14–15. Архивировано из оригинала 14 марта 2016 года . Проверено 17 июня 2016 г.
^ Рид, Томас (25 апреля 2014 г.). «Руководство по вредоносным программам для Mac: как меня защищает Mac OS X?» . Безопасный Мак . Проверено 6 октября 2016 г.
^ Ульрих, Йоханнес (22 февраля 2012 г.). «Как протестировать OS X Mountain Lion’s Gatekeeper в Lion» . Центр Интернет-Шторма . Проверено 27 июля 2012 г.
^ Перейти обратно: ^а ^б "spctl(8)" . Библиотека разработчиков Mac . Яблоко . Проверено 27 июля 2012 г.
^ «Об обновлении OS X Lion v10.7.5» . Яблоко . 13 февраля 2015. Архивировано из оригинала 22 сентября 2012 года . Проверено 18 июня 2015 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
^ Перейти обратно: ^а ^б ^с ^д «Что нового в безопасности» . Разработчик Apple (Видео). 15 июня 2016. В 21:45 . Проверено 17 июня 2016 г.
^ Каннингем, Эндрю (15 июня 2016 г.). «Некоторые странные изменения в macOS и iOS 10: съемка в формате RAW, более жесткий Gatekeeper и многое другое» . Арс Техника Великобритания . Архивировано из оригинала 16 июня 2016 года . Проверено 17 июня 2016 г.
^ Перейти обратно: ^а ^б Рид, Томас (6 октября 2015 г.). «Обход гейткипера Apple» . Лаборатория Малваребайтс . Проверено 17 июня 2016 г.
^ Перейти обратно: ^а ^б Морен, Дэн (26 августа 2009 г.). «Внутри скрытой защиты Snow Leopard от вредоносных программ» . Макмир . Проверено 30 сентября 2016 г.
^ «Насчет вопроса «Вы уверены, что хотите его открыть?» предупреждение (карантин файлов/обнаружение известных вредоносных программ) в OS X» . Поддержка Apple . 22 марта 2016. Архивировано из оригинала 17 июня 2016 года . Проверено 30 сентября 2016 г.
^ Перейти обратно: ^а ^б Форесман, Крис (17 февраля 2012 г.). «Разработчики Mac: Gatekeeper вызывает беспокойство, но все же дает опытным пользователям контроль» . Арс Техника . Проверено 18 июня 2015 г.
^ Чаттерджи, Суроджит (21 февраля 2012 г.). «OS X Mountain Lion Gatekeeper: действительно ли она защищает от вредоносных программ?» . Интернэшнл Бизнес Таймс . Проверено 3 марта 2012 г.
^ Гудин, Дэн (30 сентября 2015 г.). «Потрясающе простой эксплойт полностью обходит вредоносное ПО Mac Gatekeeper» . Арс Техника . Архивировано из оригинала 20 марта 2016 года . Проверено 17 июня 2016 г.
^ Гатлан, Сергей (23 декабря 2021 г.). «Apple исправляет ошибку безопасности macOS, связанную с обходом Gatekeeper» . Пипящий компьютер . Проверено 6 мая 2022 г.
^ Гатлан, Сергей (19 декабря 2022 г.). «Microsoft: ошибка Achilles в macOS позволяет хакерам обойти Gatekeeper» . Пипящий компьютер . Проверено 19 декабря 2022 г.

[:0-1] Перейти обратно: ^а ^б ^с ^д «OS X: О гейткипере» . Яблоко . 13 февраля 2015 года . Проверено 18 июня 2015 г.

[2] Зиглер, М.Г. (16 февраля 2012 г.). «Сюрприз! OS X Mountain Lion рычит (для разработчиков сегодня, для всех этим летом)» . ТехКранч . АОЛ Инк . Проверено 3 марта 2012 г.

[:2-3] Перейти обратно: ^а ^б ^с ^д Сиракузы, Джон (25 июля 2012 г.). «OS X 10.8 Mountain Lion: обзор Ars Technica» . Арс Техника . стр. 14–15. Архивировано из оригинала 14 марта 2016 года . Проверено 17 июня 2016 г.

[4] Рид, Томас (25 апреля 2014 г.). «Руководство по вредоносным программам для Mac: как меня защищает Mac OS X?» . Безопасный Мак . Проверено 6 октября 2016 г.

[5] Ульрих, Йоханнес (22 февраля 2012 г.). «Как протестировать OS X Mountain Lion’s Gatekeeper в Lion» . Центр Интернет-Шторма . Проверено 27 июля 2012 г.

[:1-6] Перейти обратно: ^а ^б "spctl(8)" . Библиотека разработчиков Mac . Яблоко . Проверено 27 июля 2012 г.

[7] «Об обновлении OS X Lion v10.7.5» . Яблоко . 13 февраля 2015. Архивировано из оригинала 22 сентября 2012 года . Проверено 18 июня 2015 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )

[:3-8] Перейти обратно: ^а ^б ^с ^д «Что нового в безопасности» . Разработчик Apple (Видео). 15 июня 2016. В 21:45 . Проверено 17 июня 2016 г.

[9] Каннингем, Эндрю (15 июня 2016 г.). «Некоторые странные изменения в macOS и iOS 10: съемка в формате RAW, более жесткий Gatekeeper и многое другое» . Арс Техника Великобритания . Архивировано из оригинала 16 июня 2016 года . Проверено 17 июня 2016 г.

[:4-10] Перейти обратно: ^а ^б Рид, Томас (6 октября 2015 г.). «Обход гейткипера Apple» . Лаборатория Малваребайтс . Проверено 17 июня 2016 г.

[:6-11] Перейти обратно: ^а ^б Морен, Дэн (26 августа 2009 г.). «Внутри скрытой защиты Snow Leopard от вредоносных программ» . Макмир . Проверено 30 сентября 2016 г.

[12] «Насчет вопроса «Вы уверены, что хотите его открыть?» предупреждение (карантин файлов/обнаружение известных вредоносных программ) в OS X» . Поддержка Apple . 22 марта 2016. Архивировано из оригинала 17 июня 2016 года . Проверено 30 сентября 2016 г.

[:5-13] Перейти обратно: ^а ^б Форесман, Крис (17 февраля 2012 г.). «Разработчики Mac: Gatekeeper вызывает беспокойство, но все же дает опытным пользователям контроль» . Арс Техника . Проверено 18 июня 2015 г.

[14] Чаттерджи, Суроджит (21 февраля 2012 г.). «OS X Mountain Lion Gatekeeper: действительно ли она защищает от вредоносных программ?» . Интернэшнл Бизнес Таймс . Проверено 3 марта 2012 г.

[15] Гудин, Дэн (30 сентября 2015 г.). «Потрясающе простой эксплойт полностью обходит вредоносное ПО Mac Gatekeeper» . Арс Техника . Архивировано из оригинала 20 марта 2016 года . Проверено 17 июня 2016 г.

[16] Гатлан, Сергей (23 декабря 2021 г.). «Apple исправляет ошибку безопасности macOS, связанную с обходом Gatekeeper» . Пипящий компьютер . Проверено 6 мая 2022 г.

[17] Гатлан, Сергей (19 декабря 2022 г.). «Microsoft: ошибка Achilles в macOS позволяет хакерам обойти Gatekeeper» . Пипящий компьютер . Проверено 19 декабря 2022 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]