第三方安全工具不当部署程式码签章API,错放伪装成苹果官方程式的恶意程式
2018-06-13 21:09:40 | 来源:ithome | 投稿:莹莹 | 编辑:dations

原标题:第三方安全工具不当部署程式码签章API,错放伪装成苹果官方程式的恶意程式

图片来源: Okta 提供身份管理服务的Okta本周指出,macOS或OSX的第三方开发人员因不当部署苹果官方的程式码签章API,将造成相关的安全、鉴识或资安事件回应工具放行那些假冒成苹果程式的恶意程式。程式码签章是在执行...

图片来源:

Okta

提供身份管理服务的Okta本周指出,macOS或OSX的第三方开发人员因不当部署苹果官方的程式码签章API,将造成相关的安全、鉴识或资安事件回应工具放行那些假冒成苹果程式的恶意程式。

程式码签章是在执行档中作记号,以用来验证该程式未经窜改,以及确实来自所宣称的供应商。Okta的安全工程师Josh△Pitts解释,在Windows上得以加密签署所有部份,从.NET二元码到PowerShell脚本程式,但macOS上的程式码签章则是锁定Mach-O二元程式与应用程序套件,以确保于记忆体中只能执行可靠的程式码。

此一漏洞则是存在于Mach-O载入已签署程式码的方式,以及程式码签章APIs的不当操作,骇客可以借由恶意的Fat档案开采漏洞,以将恶意程式假冒为苹果官方程式,并逃过第三方安全程式的审查。

Fat是个可执行的Mac档案,它含有许多不同的Mach-O档案,每个Mach-O档案都是针对特定的CPU架构而设计,以让该程式能支援不同的CPU架构。

恶意的Fat档案必须符合3个条件才能开采该漏洞,包括首个Mach-O档案必须是由苹果所签署;其它非源自苹果的程式则必须是指定签署(adhoc△signed)且是由i386替x86_64位元的macOS所编译;苹果程式Fat标头中的CPU_TYPE必须设为无效,或是非原生的CPU类型。

主要的问题出在于许多的第三方程式并没有妥善检查Fat档案中的每个元件,它们只验证了Fat档案中的第一个Mach-O档案,然后就决定信赖当中的所有元件。

受影响的第三方程式包括恶意程式扫描工具VirusTotal、Gogle旗下的程式签章检验工具molcodesignchecker、脸书的作业系统分析与效能监控工具OSQuery,与F-Secure替Mac所打造的免费安全工具xFence等。

Pitts说,他是在今年2月把相关的报告与概念性验证程式提交给苹果,但苹果却不认为这是个该由官方修补的安全问题,反而建议第三方开发人员应该使用kSecCSCheckAllArchitectures△and△kSecCSStrictValidate△with△SecStaticCodeCheckValidity△API,还告诫外部开发人员得要更努力地验证通用二进位(Universal△binary)中的所有身份都是一致的。

tags:

上一篇  下一篇

相关:

快更新! VMware AirWatch Agent爆远端程式码执行漏洞

VMware自家的资安通报网站VMware△Security△Advisories,近日发布了该公司产品AirWatch△Agent中有远端程式码执行漏洞,危险程度被标注“严重”,呼吁使用者得更新AirWatch△Agent,确保行动装置不会成为企业IT环境

Google将禁止从第三方安装Chrome扩充程式

示意图,与新闻事件无关。 图片来源: Chrome△Web△Store 未来Chrome用户想下载扩充程式,唯一管道就只剩Google△Chrome△Web△Store了。因为Google周二宣布为了减少诈骗或恶意软件问题,将逐步禁止从第三方网站下

研究:至少5%的Monero币来自入侵受害装置的挖矿程式

示意图,与新闻事件无关。 挖矿绑架猖獗,一项研究显示,目前全球流通的Monero中,至少有5%产生自挖矿恶意程式感染的装置,这些装置贡献了约总体2%的算力。这是来自Palo△Alto△Network△安全研究人员分析该公司Wi

脸书内部使用的跨平台行动程式除错工具Sonar开源了!

图片来源: GitHub 脸书(Facebook)周一(6/11)开源了内部所使用的跨平台行动程式除错工具Sonar,它同时支援iOS与Android程式,可用来实现新功能、抓虫,或是调校程式效能,以协助社交加速程式开发流程,现已可自Gi

线上版Microsoft Store将允许Windows 10用户自远端安装程式

示意图,与新闻事件无关。 图片来源: 微软 Bleeping△Computer最近发现,微软在今年6月初于Microsoft△Store线上版新增了“Install△on△my△devices”功能,若是进入了曾利用微软帐号安装的程式,就能看到该功能,

站长推荐: