Ferramentas de segurança de terceiros para Mac apresentam vulnerabilidade desde 2007(!)


Mesmo no mundo Apple, falhas de segurança em sistemas operacionais são acontecimentos corriqueiros; o importante é que essas brechas sejam corrigidas rapidamente por seja lá quem as causou. O que dizer, então, de uma vulnerabilidade que vem acometendo os Macs do mundo ao longo dos últimos 11 (sim, onze) anos e só agora foi descoberta?

É verdade — e quem informou foi o Ars Technica. Um grupo de pesquisadores detectou um problema que afeta uma série de ferramentas de segurança de terceiros no macOS, permitindo que agentes maliciosos simulem assinaturas digitais da Apple — de forma bem simples, é bom notar — e passem pelos bloqueios dessas ferramentas livremente, instalando-se nas máquinas como se fossem aplicações da própria Maçã. O fenômeno, aparentemente, ocorre desde o lançamento do Mac OS X Leopard, em 2007!

A matéria explica o funcionamento da vulnerabilidade:

A técnica consiste em usar um formato binário, também conhecido como Fat ou arquivo universal, que contém vários arquivos escritos para diferentes processadores usados em Macs ao longo dos anos, como i386, x86_64 ou PPC. Só o primeiro dos chamados arquivos Mach-O presentes no pacote tem de ser assinado pela Apple. Ao menos oito ferramentas de terceiros mostram outros códigos executáveis não-assinados, incluídos no mesmo pacote, como assinados pela Apple.

Algumas das ferramentas de terceiros afetadas incluem a VirusTotal, o Google Santa, o Facebook OSQuery, o Little Snitch Firewall, o Yep, o OSXCollector, o db Response da Carbon Black e várias ferramentas da Objective-See. Muitas empresas e usuários dependem dessas ferramentas para implementar processos de whitelisting que permitem apenas que aplicativos aprovados sejam instalados num computador, enquanto bloqueiam todos os outros.

Ou seja, é — teoricamente — muito simples que hackers e agentes maliciosos passem códigos infectados à sua máquina por meio de uma das ferramentas afetadas; basta atrelar o código a um arquivo assinado pela Apple e tudo passa no mesmo bolo, basicamente falando.

É bom notar que a falha não é de responsabilidade direta da Apple e sim dos desenvolvedores que criaram as ferramentas, utilizaram as APIs1 da Maçã de forma errada e não perceberam a brecha ao longo da última década. Ainda assim, alguns defendem que a vulnerabilidade surgiu por conta de uma suposta ineficiência da Apple em oferecer a documentação adequada para que os desenvolvedores implementassem suas APIs corretamente — ao menos no passado.

É como afirmou o programador Patrick Wardle, da Objective-See:

Para deixar claro, essa não é uma vulnerabilidade ou bug no código da Apple. Basicamente só uma documentação pouco clara ou confusa que levou as pessoas a utilizarem sua API incorretamente. A Apple atualizou a sua documentação para deixar as coisas mais claras e os desenvolvedores só precisam invocar a API com uma bandeira mais abrangente (que sempre esteve disponível).

Ou seja, a essa altura, os desenvolvedores já devem estar pondo a mão na massa para taparem o longevo buraco — mas não dá para descartar os possíveis males trazidos por eles ao longo da última década, cujo real prejuízo nunca será precisado. A nós, usuários, fica o lembrete usual de sempre manter seus aplicativos e ferramentas atualizados e, como de costume, nunca abrir arquivos suspeitos. Não é tão difícil, né?

Posts recomendados
Comentários

O Modo Escuro foi ativado ou desativado.
Atualize esta página para ver os comentários.


Carregar mais posts recentes

Relatório de erro de ortografia

O texto a seguir será enviado para nossos editores: