stringtranslate.com

Привратник (macOS)

Gatekeeper — это функция безопасности операционной системы macOS от Apple . [1] [2] Она обеспечивает подпись кода и проверяет загруженные приложения перед их запуском, тем самым снижая вероятность непреднамеренного запуска вредоносного ПО . Gatekeeper основан на File Quarantine , который был представлен в Mac OS X Leopard (10.5) и расширен в Mac OS X Snow Leopard (10.6). [3] [4] Функция появилась в версии 10.7.3 Mac OS X Lion как утилита командной строки spctl . [5] [6] Графический пользовательский интерфейс изначально был добавлен в OS X Mountain Lion (10.8), но был перенесен в Lion с обновлением 10.7.5. [7]

Функции

Конфигурация

Параметры Gatekeeper в приложении «Системные настройки» . Начиная с macOS Sierra , параметр «Anywhere» по умолчанию скрыт.

На панели «Безопасность и конфиденциальность» в Системных настройках пользователю доступны три опции, разрешающие загрузку приложений из:

Магазин приложений для Mac
Позволяет запускать только приложения, загруженные из Mac App Store .
Mac App Store и идентифицированные разработчики
Позволяет запускать приложения, загруженные из Mac App Store, и приложения, подписанные сертифицированными разработчиками Apple . Это настройка по умолчанию со времен Mountain Lion.
Везде
Позволяет запускать все приложения. Это фактически отключает Gatekeeper. Это настройка по умолчанию в Lion. Начиная с macOS Sierra (10.12) эта опция по умолчанию скрыта. [8] [9]
Однако эту опцию можно включить повторно, используя команду «sudo spctl --master-disable» из Терминала и выполнив аутентификацию с помощью пароля администратора.

Утилита командной строки spctl обеспечивает детальное управление, например, настраиваемые правила и индивидуальные или общие разрешения, а также возможность отключить Gatekeeper. [6]

Карантин

При загрузке приложения к загруженному файлу может быть добавлен определенный расширенный атрибут файла («флаг карантина»). [10] Этот атрибут добавляется приложением, которое загружает файл, например веб-браузером или почтовым клиентом , но обычно не добавляется обычным программным обеспечением клиента BitTorrent , например Transmission , и разработчикам приложений необходимо реализовать эту функцию в своих приложениях, и она не реализована системой. Система также может принудительно навязывать такое поведение отдельным приложениям с помощью системы на основе сигнатур под названием Xprotect. [11]

Исполнение

Скриншот системного оповещения , которое появляется, когда Gatekeeper блокирует запуск приложения, поскольку оно не подписано сертифицированным разработчиком Apple

Когда пользователь пытается открыть приложение с таким атрибутом, система откладывает выполнение и проверяет, что оно:

Начиная с Mac OS X Snow Leopard, система ведет два черных списка для идентификации известных вредоносных программ или небезопасного программного обеспечения. Черные списки периодически обновляются. Если приложение занесено в черный список, то File Quarantine откажется открывать его и порекомендует пользователю перетащить его в корзину . [11] [12]

Gatekeeper откажется открывать приложение, если требования по подписи кода не выполнены. Apple может отозвать сертификат разработчика, которым было подписано приложение, и предотвратить дальнейшее распространение. [1] [3]

После того, как приложение прошло File Quarantine или Gatekeeper, ему будет разрешено работать в обычном режиме, и оно не будет проверяться снова. [1] [3]

Переопределить

Чтобы переопределить Gatekeeper, пользователь (действующий как администратор) должен либо переключиться на более мягкую политику на панели «Безопасность и конфиденциальность» в Системных настройках, либо разрешить ручное переопределение для конкретного приложения, открыв приложение из контекстного меню или добавив его с помощью spctl . [1]

Рандомизация пути

Разработчики могут подписывать образы дисков , которые могут быть проверены системой как единое целое. В macOS Sierra это позволяет разработчикам гарантировать целостность всех упакованных файлов и не допускать их заражения и последующего распространения злоумышленниками. Кроме того, «рандомизация пути» запускает пакеты приложений из случайного скрытого пути и не позволяет им получать доступ к внешним файлам относительно их местоположения. Эта функция отключается, если пакет приложения был создан из подписанного пакета установщика или образа диска или если пользователь вручную переместил приложение без каких-либо других файлов в другой каталог. [8]

Подразумеваемое

Эффективность и обоснованность Gatekeeper в борьбе с вредоносным ПО были признаны, [3] но были встречены с оговорками. Исследователь безопасности Крис Миллер отметил, что Gatekeeper будет проверять сертификат разработчика и сверяться со списком известных вредоносных программ только при первом открытии приложения. Вредоносное ПО, которое уже прошло Gatekeeper, не будет остановлено. [13] Кроме того, Gatekeeper будет проверять только приложения, имеющие флаг карантина. Поскольку этот флаг добавляется другими приложениями, а не системой, любое пренебрежение или невыполнение этого не приводит к срабатыванию Gatekeeper. По словам блогера по безопасности Томаса Рида, клиенты BitTorrent часто нарушают это. Флаг также не добавляется, если приложение пришло из другого источника, например, из сетевых папок и USB-флешек . [10] [13] Также были подняты вопросы о процессе регистрации для получения сертификата разработчика и перспективе кражи сертификата. [14]

В сентябре 2015 года исследователь безопасности Патрик Уордл написал о другом недостатке, который касается приложений, которые распространяются с внешними файлами, такими как библиотеки или даже HTML- файлы, которые могут содержать JavaScript . [8] Злоумышленник может манипулировать этими файлами и через них эксплуатировать уязвимость в подписанном приложении. Затем приложение и его внешние файлы могут быть повторно распространены, при этом исходная подпись самого пакета приложения остается нетронутой. Поскольку Gatekeeper не проверяет такие отдельные файлы, безопасность может быть скомпрометирована. [15] Благодаря рандомизации путей и подписанным образам дисков Apple предоставила механизмы для смягчения этой проблемы в macOS Sierra. [8]

В 2021 году была обнаружена уязвимость, при которой размещение #!в первой строке (без пути интерпретатора ) файла обходило Gatekeeper. [16]

В 2022 году исследователь Microsoft поделился уязвимостью, которая использует формат AppleDouble для установки произвольного списка контроля доступа с целью обхода Gatekeeper. [17]

Смотрите также

Ссылки

  1. ^ abcd "OS X: About Gatekeeper". Apple . 13 февраля 2015 г. Получено 18 июня 2015 г.
  2. ^ Siegler, MG (16 февраля 2012 г.). "Сюрприз! OS X Mountain Lion ревёт в существование (для разработчиков сегодня, для всех этим летом)". TechCrunch . AOL Inc . Получено 3 марта 2012 г.
  3. ^ abcd Siracusa, John (25 июля 2012 г.). «OS X 10.8 Mountain Lion: обзор Ars Technica». Ars Technica . стр. 14–15. Архивировано из оригинала 14 марта 2016 г. Получено 17 июня 2016 г.
  4. Рид, Томас (25 апреля 2014 г.). «Руководство по вредоносным программам для Mac: как меня защищает Mac OS X?». The Safe Mac . Получено 6 октября 2016 г.
  5. ^ Ульрих, Йоханнес (22 февраля 2012 г.). «Как протестировать OS X Mountain Lion's Gatekeeper в Lion». Internet Storm Center . Получено 27 июля 2012 г.
  6. ^ ab "spctl(8)". Библиотека разработчиков Mac . Apple . Получено 27 июля 2012 г. .
  7. ^ "Об обновлении OS X Lion v10.7.5". Apple . 13 февраля 2015 г. Архивировано из оригинала 22 сентября 2012 г. Получено 18 июня 2015 г.{{cite web}}: CS1 maint: бот: исходный статус URL неизвестен ( ссылка )
  8. ^ abcd "Что нового в безопасности". Apple Developer (видео). 15 июня 2016 г. В 21:45 . Получено 17 июня 2016 г.
  9. ^ Каннингем, Эндрю (15 июня 2016 г.). «Некоторые грёбаные изменения в macOS и iOS 10: съемка в формате RAW, более жёсткий Gatekeeper, больше». Ars Technica UK . Архивировано из оригинала 16 июня 2016 г. Получено 17 июня 2016 г.
  10. ^ ab Reed, Thomas (6 октября 2015 г.). «Обход сторожа Apple». Malwarebytes Labs . Получено 17 июня 2016 г.
  11. ^ ab Moren, Dan (26 августа 2009 г.). «Внутри скрытой защиты от вредоносных программ Snow Leopard». Macworld . Получено 30 сентября 2016 г.
  12. ^ «О предупреждении «Вы уверены, что хотите открыть его?» (карантин файлов/обнаружение известных вредоносных программ) в OS X». Служба поддержки Apple . 22 марта 2016 г. Архивировано из оригинала 17 июня 2016 г. Получено 30 сентября 2016 г.
  13. ^ ab Foresman, Chris (17 февраля 2012 г.). «Разработчики Mac: Gatekeeper вызывает беспокойство, но все еще дает опытным пользователям контроль». Ars Technica . Получено 18 июня 2015 г.
  14. Чаттерджи, Суроджит (21 февраля 2012 г.). «OS X Mountain Lion Gatekeeper: может ли он действительно защитить от вредоносного ПО?». International Business Times . Получено 3 марта 2012 г.
  15. ^ Гудин, Дэн (30 сентября 2015 г.). «Простейший эксплойт полностью обходит вредоносное ПО Gatekeeper для Mac». Ars Technica . Архивировано из оригинала 20 марта 2016 г. Получено 17 июня 2016 г.
  16. ^ Гатлан, Серджиу (23 декабря 2021 г.). «Apple исправляет уязвимость безопасности macOS, скрывающуюся за обходом Gatekeeper». Bleeping Computer . Получено 6 мая 2022 г.
  17. ^ Гатлан, Серджиу (19 декабря 2022 г.). «Microsoft: ошибка Achilles macOS позволяет хакерам обойти Gatekeeper». Bleeping Computer . Получено 19 декабря 2022 г. .