Los cambios realizados por Apple al respecto de Gatekeeper en macOS Sierra son una respuesta a los problemas de este sistema de gestión de aplicaciones que trata de filtrar aquellas que no han sido firmadas por un certificado de desarrollador de Apple evitando así que pueda instalarse malware en el Mac con facilidad. Gatekeeper puede ser sobrepasado por un atacante que busque instalar malware en el Mac y los cambios realizados por Apple el pasado octubre de 2015 no solucionaron totalmente el problema por lo que en macOS Sierra Apple ha decidido implementar dos medidas: una visible y otra no.
En macOS Sierra, Apple ha decidido limitar la descarga de aplicaciones en el panel de control Seguridad y Privacidad, pestaña General, a dos tipos de aplicaciones: Mac App Store y Desarrolladores Identificados. Esto implica que los usuarios deben seleccionar una de estas dos opciones y Gatekeeper buscará el correspondiente firmado de código en las aplicaciones descargadas para validarlas y permitir su ejecución. Este cambio, sin embargo, no implica que no sea factible poder ejecutar aplicaciones no firmadas, en el caso de que un usuario avanzado haya decidido descargar y utilizar alguna de ellas: el método de hacer clic e invocar el menú contextual para indicar a continuación Abrir seguirá funcionando para ejecutar aplicaciones no firmadas, aunque el usuario deberá aceptar (y asumir por tanto) la responsabilidad de la ejecución de las mismas. Esto ha sido confirmado por Simon Cooper, un manager de ingeniería de Apple durante una sesión en la WWDC de 2016.
Hay un cambio más debajo del capó de macOS Sierra en busca de una mayor y mejor seguridad del sistema, no obstante. Para evitar el problema de las aplicaciones reempaquetadas y sus correspondientes ataques, una forma de intentar infectar el sistema creando una aplicación que parece ser legítima pero que incluye software malicioso en componentes externos incluidos en la aplicación que no son gestionados directamente por Gatekeeper, macOS Sierra situará aleatoriamente estas aplicaciones en el disco, haciendo imposible que el código malicioso pueda recuperar información basándose en el uso de rutas preestablecidas, con lo que simplemente no encontrará los recursos asociados al mismo y quedará inerte.
Las imágenes .dmg, uno de los sistemas habituales de distribución de software más populares, estarán sujetas a este sistema aleatorio pero además ahora Apple permitirá firmar las imágenes de disco a los desarrolladores que trabajen con este tipo de distribución de software fuera de la App Store, utilizando los certificados generados como desarrollador de software para Mac desde su cuenta. Esto añadirá una barrera de seguridad más ya que al intentar abrir una imagen de disco no firmada, recibiremos las correspondientes alertas al respecto, teniendo que evaluar la idoneidad de seguir adelante y asumiendo de forma personal el problema de seguridad que puede causar el software de su interior que todavía no ha sido ejecutado.
Me parece muy buena idea. Yo siempre tengo seleccionada la opción “Mac App Store” y cuando tengo que instalar algo no firmado lo cambio manualmente para volver a la opción inicial una vez lo he ejecutado.
La medida de situar archivos en rutas aleatorias para que el malware no encuentre la ruta de instalación me parece genial.
Lo cierto es que desde hace años la morralla de software chungo está más presente en Mac OS. Afortunadamente no sucede como las últimas veces que he instalado aplicaciones básicas en Windows. Esa es una actividad llena de ”riesgo y tensión“. No es sencillo instalar exactamente lo que buscas. Al menor despiste instalas la aplicación deseada y a la vez otra que no esperas. La ruleta rusa del malware puede acabar instalando un cambio en la página de arranque del navegador, un supuesto antivirus o algo peor.
Como siempre, es el usuario quien debe estar alerta cuando ve algo sospechoso. Y en caso de duda, interrumpir el proceso. Lo que me lleva al comentario de la existencia del macacus rhesus okensis. Esto es, el ser que se encuentra entre la silla y el equipo que busca darle a todo OK incluso antes de que despliegue la ventana:
¿Quieres que llegue la hora del juicio final en 5 minutos? ¿Está usted de acuerdo en que le caiga un yunque de 800 kilos sobre sus progenitores? ¿Desea que 87 zombis invadan la panadería de su barrio?
Ni leen. OK OK OK OK OK…