Gatekeeper (macOS) - Gatekeeper (macOS)

Nesmí být zaměňována s rozšířením Gatekeeper pro třetí strany „klasický“ Mac OS.

Vrátný
Logo strážce brány.png
VývojářiApple Inc.
První vydání25. července 2012 (2012-07-25)
Operační systémOperační Systém Mac

Vrátný je bezpečnostní prvek Operační Systém Mac operační systém podle Jablko.[1][2] Prosazuje podepisování kódu a ověřuje stažené aplikace před tím, než jim umožní spuštění, čímž snižuje pravděpodobnost neúmyslného spuštění malware. Vrátný staví na Karanténa souborů, který byl představen v Mac OS X Leopard a rozšířen Mac OS X Snow Leopard.[3][4] Tato funkce pochází z verze 10.7.3 Mac OS X Lion jako nástroj příkazového řádku spctl.[5][6] A grafické uživatelské prostředí byl přidán dovnitř OS X Mountain Lion a později také ve verzi 10.7.5 Lion.[7]

Funkce

Konfigurace

Screenshot aplikace System Preferences OS X Yosemite, zobrazující tři možnosti Gatekeeper jako přepínací tlačítka.
Možnosti vrátného v Systémové preference aplikace. Od té doby macOS Sierra, možnost „Kdekoli“ je ve výchozím nastavení skrytá.

Na panelu zabezpečení a soukromí na webu Systémové preference, má uživatel tři možnosti:

Mac App Store
Umožňuje pouze aplikace stažené z Mac App Store být spuštěn.
Mac App Store a identifikovaní vývojáři
Umožňuje aplikacím staženým z Mac App Store a aplikacím podepsaným certifikovaní vývojáři Apple být spuštěn. Toto je výchozí nastavení od Mountain Lion.
Kdekoli
Umožňuje spuštění všech aplikací. Tím se efektivně Gatekeeper vypne. Toto je výchozí nastavení v Lionu. Od té doby macOS Sierra, tato možnost je ve výchozím nastavení skrytá.[8][9]
Tuto možnost však lze znovu povolit pomocí příkazu 'sudo spctl --master-disable' z terminálu a autentizace pomocí hesla správce.

Obslužný program příkazového řádku spctl poskytuje podrobné ovládací prvky, jako jsou vlastní pravidla a individuální nebo hromadná oprávnění, stejně jako možnost vypnout Gatekeeper.[6]

Karanténa

Po stažení aplikace, zejména atribut rozšířeného souboru („příznak karantény“) lze přidat do staženého souboru.[10] Tento atribut přidává aplikace, která stáhne soubor, například a webový prohlížeč nebo e-mailový klient, ale obvykle se nepřidává BitTorrent klientský software, jako je Přenos a vývojáři aplikací budou muset tuto funkci implementovat do svých aplikací a systém je neimplementuje. Systém může také vynutit toto chování u jednotlivých aplikací pomocí systému založeného na podpisu s názvem Xprotect.[11]

Provedení

Screenshot ze systémového upozornění informující uživatele, že aplikaci nelze otevřít, protože nebyla podepsána registrovaným vývojářem.
Screenshot systému výstraha který se objeví, když Gatekeeper zabrání spuštění aplikace, protože nebyla podepsána vývojářem certifikovaným společností Apple.

Když se uživatel pokusí otevřít aplikaci s takovým atributem, systém odloží spuštění a ověří, zda se jedná o:

  • na černé listině,
  • podepsaný společností Apple nebo certifikovaným vývojářem,
  • obsah podepsaný kódem stále odpovídá podpisu.

Od té doby Mac OS X Snow Leopard, systém uchovává dvě černé listiny k identifikaci známého malwaru nebo nezabezpečeného softwaru. Černé listiny jsou pravidelně aktualizovány. Pokud je aplikace na černé listině, pak ji Karanténa souborů odmítne otevřít a doporučí uživateli ji přesunout do odpadky.[11][12]

Gatekeeper odmítne aplikaci otevřít, pokud nejsou splněny požadavky na podepisování kódu. Apple může odvolat certifikát vývojáře, se kterým byla aplikace podepsána, a zabránit další distribuci.[1][3]

Jakmile aplikace projde karanténou souborů nebo službou Gatekeeper, bude ji možné normálně spustit a nebude znovu ověřena.[1][3]

Přepsat

Chcete-li přepsat Gatekeeper, musí uživatel (jednající jako správce) přepnout na mírnější zásadu z panelu zabezpečení a soukromí v Předvolbách systému nebo autorizovat ruční přepsání konkrétní aplikace, a to buď otevřením aplikace z kontextová nabídka nebo přidáním pomocí spctl.[1]

Randomizace cesty

Vývojáři se mohou podepsat obrazy disků které lze systémem ověřit jako jednotku. V systému macOS Sierra to vývojářům umožňuje zaručit integritu všech dodávaných souborů a zabránit útočníkům v jejich infikování a následné redistribuci. Kromě toho se provede „randomizace cesty“ balíčky aplikací z náhodné skryté cesty a brání jim v přístupu k externím souborům vzhledem k jejich umístění. Tato funkce je vypnutá, pokud balíček aplikace pochází z podepsaného instalační balíček nebo obraz disku nebo pokud uživatel ručně přesunul aplikaci bez dalších souborů do jiného adresáře.[8]

Dopady

Účinnost a odůvodnění Gatekeeperu v boji proti malwaru byly uznány,[3] ale setkal se s výhradami. Výzkumník zabezpečení Chris Miller poznamenal, že Gatekeeper ověří certifikát vývojáře a seznam známého malwaru prohlédne, až když aplikaci poprvé otevřete. Malware, který již prošel službou Gatekeeper, nebude zastaven.[13] Gatekeeper navíc ověří pouze aplikace, které mají příznak karantény. Jelikož je tento příznak přidán jinými aplikacemi a nikoli systémem, jakékoli zanedbání nebo neúspěch nespustí Gatekeeper. Podle bezpečnostního bloggera Thomase Reeda, BitTorrent klienti jsou toho častými pachateli. Příznak se také nepřidá, pokud aplikace pochází z jiného zdroje, například sdílení v síti a USB flash disky.[10][13] Byly také vzneseny otázky ohledně procesu registrace k získání certifikátu vývojáře a vyhlídky na krádež certifikátu.[14]

V září 2015 napsal bezpečnostní výzkumník Patrick Wardle o dalším nedostatku, který se týká aplikací distribuovaných s externími soubory, jako jsou knihovny nebo dokonce HTML soubory, které mohou obsahovat JavaScript.[8] Útočník může s těmito soubory manipulovat a prostřednictvím nich zneužít a zranitelnost v podepsané aplikaci. Aplikaci a její externí soubory lze poté znovu distribuovat, přičemž původní podpis samotného balíčku aplikace zůstane nedotčen. Protože Gatekeeper takové jednotlivé soubory neověřuje, může dojít k narušení zabezpečení.[15] S randomizací cesty a podepsanými bitovými kopiemi poskytla společnost Apple mechanismy ke zmírnění tohoto problému v macOS Sierra.[8]

Viz také

Reference

  1. ^ A b C d „OS X: About Gatekeeper“. Jablko. 13. února 2015. Citováno 18. června 2015.
  2. ^ Siegler, MG (16. února 2012). „Překvapení! OS X Mountain Lion burácí v existenci (pro vývojáře dnes, všichni letos v létě)“. TechCrunch. AOL Inc.. Citováno 3. března 2012.
  3. ^ A b C d Siracusa, John (25. července 2012). „OS X 10.8 Mountain Lion: recenze Ars Technica“. Ars Technica. str. 14–15. Archivováno z původního dne 14. března 2016. Citováno 17. června 2016.
  4. ^ Reed, Thomas (25. dubna 2014). „Průvodce malwarem pro Mac: Jak mě chrání Mac OS X?“. Safe Mac. Citováno 6. října 2016.
  5. ^ Ullrich, Johannes (22. února 2012). "Jak otestovat Gatekeeper OS X Mountain Lion v Lionu". Centrum internetové bouře. Citováno 27. července 2012.
  6. ^ A b "spctl (8)". Knihovna vývojářů pro Mac. Jablko. Citováno 27. července 2012.
  7. ^ „O aktualizaci OS X Lion v10.7.5“. Jablko. 13. února 2015. Citováno 18. června 2015.
  8. ^ A b C d „Co je nového v zabezpečení“. Vývojář Apple (Video). 15. června 2016. V 21:45. Citováno 17. června 2016.
  9. ^ Cunningham, Andrew (15. června 2016). „Některé hloupé změny v systému macOS a iOS 10: fotografování ve formátu RAW, drsnější Gatekeeper, další“. Ars Technica UK. Archivováno z původního dne 16. června 2016. Citováno 17. června 2016.
  10. ^ A b Reed, Thomas (6. října 2015). „Obejití vrátného společnosti Apple“. Laboratoře Malwarebytes. Citováno 17. června 2016.
  11. ^ A b Moren, Dan (26. srpna 2009). „Skrytá ochrana proti malwaru Inside Snow Leopard“. Macworld. Citováno 30. září 2016.
  12. ^ „O„ Opravdu jej chcete otevřít? “ upozornění (File Quarantine / Known Malware Detection) v OS X ". Podpora Apple. 22. března 2016. Archivováno z původního dne 17. června 2016. Citováno 30. září 2016.
  13. ^ A b Foresman, Chris (17. února 2012). „Vývojáři počítačů Mac: Gatekeeper je problém, ale stále poskytuje mocným uživatelům kontrolu“. Ars Technica. Citováno 18. června 2015.
  14. ^ Chatterjee, Surojit (21. února 2012). „OS X Mountain Lion Gatekeeper: Může to opravdu zabránit malwaru?“. International Business Times. Citováno 3. března 2012.
  15. ^ Goodin, Dan. „Drop-dead simple exploit zcela obchází malware Gatekeepera pro Mac“. Ars Technica. Archivováno od originálu 20. března 2016. Citováno 17. června 2016.