Um investigador especialista em segurança descobriu que existe uma forma de ultrapassar o mecanismo gatekeeper do macOS através das partilhas de rede.
O Apple Gatekeeper está feito para proteger os utilizadores do OS X através de um determinado número de verificações antes de permitir que a aplicação corra; é o que faz com que as aplicações baixadas no sistema sejam verificadas, por exemplo, a partir da Apple store. Desta forma, caso a aplicação não seja dessa "fonte", a aplicação pode não correr como o desejado.
Como funciona o Gatekeeper
O programa considera tanto as drives externas como partilhas de rede localizações seguras, ou seja, quaisquer aplicações nestas localizações podem correr sem pedir o consentimento do utilizador.
Desta forma, o atacante precisa de tirar proveito de duas funcionalidades: a automontagem (ou autofs) e a falta de certas verificações. A primeira permite que o utilizador monte automaticamente uma partilha de rede acedendo a um determinado diretório. Neste caso, qualquer diretório que comece por "/net". A segunda funcionalidade foi aproveitada/explorada de forma a incluir links simbólicos para arquivos ZIP em localizações arbitrárias. O investigador descobriu que o software responsável por extrair os arquivos ZIP não realiza qualquer tipo de verificação.
O atacante consegue controlar o link simbólico, e efetivamente verificar que a vítima dirige-se a essa localização na rede por ele criada.
Workaround
Desta forma, o workaround sugerido é desabilitar a funcionalidade de automontagem. Para isso, o utilizador deve:
- Editar o ficheiro /etc/auto_master como root
- Comentar a linha que começa por "/net"
- Reiniciar o sistema
Mais informações: https://www.forbes.com/sites/daveywinder/2019/05/26/unpatched-apple-macos-vulnerability-lets-malicious-apps-run-what-you-need-to-know/