Palo Alto Networks’ün 42. Birimindeki güvenlik araştırmacıları, macOS’un Gatekeeper güvenlik mekanizmasındaki önemli güvenlik açıklarını ortaya çıkardı.
Bu keşif, bazı üçüncü taraf uygulamaların ve hatta bazı Apple’ın yerel komut satırı araçlarının nasıl yanlışlıkla Gatekeeper’ı atlayabildiğini ve potansiyel olarak kötü amaçlı kodların macOS sistemlerinde kontrolsüz çalışmasına izin verdiğini ortaya koyuyor.
MacOS’un önemli bir güvenlik özelliği olan Gatekeeper, sistemde yalnızca güvenilir yazılımların çalışmasını sağlamak için tasarlanmıştır. Bunu, Apple App Store dışından indirilen uygulamaları doğrulayarak, bunların doğrulanmış geliştiricilere ait olduğunu ve kurcalanmadığını doğrulayarak gerçekleştirir.
Ancak araştırma, bazı uygulamaların “com.apple.quarantine” adı verilen belirli bir meta veri özelliğini işleme biçimindeki tutarsızlıklar nedeniyle bu koruyucu önlemin atlatılabileceğini gösteriyor.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide (PDF)
Karantina özelliği, macOS’ta yeni indirilen dosyalara otomatik olarak eklenir. Bir kullanıcı bu özniteliğe sahip bir dosyayı çalıştırmayı denediğinde Gatekeeper, güvenlik kontrollerini gerçekleştirmek üzere tetiklenir.
Ancak araştırmacılar, arşivleme, sanallaştırma ve Apple’ın bazı komut satırı araçlarıyla ilgili bazı üçüncü taraf yardımcı programlarının bu özelliği gerektiği gibi uygulamadığını veya yaymadığını buldu.
Belirlenen güvenlik açığı bulunan uygulamalar arasında iZip, Archiver, BetterZip, WinRAR ve 7z Utility gibi popüler arşivleme araçları vardı. Bu uygulamalar, ZIP, TAR ve 7Z dahil olmak üzere çeşitli arşiv biçimlerinden dosyaları ayıklarken karantina özelliğini koruyamadı.
Ek olarak, VMware Fusion’ın, dosyaları bir ana makineden konuk bir macOS sanal makinesine kopyalarken karantina özelliğini bıraktığı tespit edildi.
Belki de en şaşırtıcı olanı, curl, SCP, Unzip ve tar dahil olmak üzere Apple’ın kendi yerel komut satırı araçlarından bazılarının indirilen veya çıkarılan dosyalar üzerinde karantina özelliğini zorunlu kılmamasıdır. Apple’ın kendi yardımcı programlarındaki bu gözetim, sağlam bir güvenlik ekosistemini sürdürmenin karmaşıklığının altını çiziyor.
Bu bulguların sonuçları önemlidir. Karantina özelliği olmadan, Gatekeeper dosyaları taramaz ve potansiyel olarak kötü amaçlı kodun kullanıcının bilgisi veya izni olmadan yürütülmesine izin verir.
Saldırganlar, macOS’un yerleşik güvenlik önlemlerini atlamak ve hedef sistemlerde zararlı yazılımlar çalıştırmak için bu güvenlik açığından yararlanabilir.
Bazı geliştiriciler bu bulgulara yanıt olarak sorunu çözmeye başladı bile. BetterZip, Archiver ve iZip, karantina özelliğini doğru şekilde işlemek için yazılımlarında güncellemeler yaptıklarını duyurdu.
Ancak, sistem çapında güvenlik için üçüncü tarafların uyumluluğuna güvenmenin daha geniş bir sorunu hala bir endişe kaynağı olmaya devam ediyor.
Kullanıcıların, üçüncü taraf uygulamaları kullanırken dikkatli olmaları ve sistemlerinin en son güvenlik yamalarıyla güncel olduğundan emin olmaları önerilir. Bu arada, Apple ve üçüncü taraf geliştiricilerin bu güvenlik açıklarını gidermek ve macOS ekosisteminin genel güvenliğini güçlendirmek için özenle çalışması gerekiyor.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here