Un investigador de seguridad ha encontrado una forma muy sencilla de sobrepasar la seguridad de Gatekeeper, incluso cuando la protección está activada al nivel máximo.

El hack utiliza un archivo binario considerado confiable por Apple e identificado por Gatekeeper como tal. Una vez Gatekeeper confía en el binario, éste puede ejecutar archivos que están en la misma carpeta sin que sean investigados previamente por Gatekeeper, permitiendo la instalación así de malware.

Patrick Warble, director de la empresa de seguridad Synack ha comentado que la forma de sobrepasar a Gatekeeper más que aprovechar un defecto en sí, se aprovecha de la forma de trabajar que tiene ya que la única función del sistema de seguridad es comprobar si el certificado asociado a una aplicación es correcto, es decir, está generado por la Mac App Store o pertenece a un desarrollador identificado, pero no controla las futuras acciones de la aplicación. Así, si la aplicación es válida, la deja pasar, pero no controla qué hace y cómo lo hace.

El proceso es muy simple (y lo voy a explicar también de forma muy simple). Básicamente descargas una imagen de disco o un archivo comprimido que corresponde a una aplicación. Al abrir la imagen o descomprimirlo y hacer clic en la aplicación, Gatekeeper comprueba el certificado de la misma y le da paso, pero entonces la aplicación hace una llamada a un segunda aplicación que se ejecuta a espaldas de Gatekeeper y que puede contener malware. Ante este problema, la política SIP de OS X 10.11 El Capitan puede ayudar mucho, ya que impide que un malware se instale con facilidad al no tener acceso al sistema incluso cuando se introduzca una contraseña de administrador.

Gatekeeper-bypass-hack

El investigador de seguridad advirtió del problema a Apple hace dos meses y cree que en Cupertino se está trabajando en una forma de solucionar este problema para eliminarlo o limitar los daños que pueda causar. Un portavoz de Apple de hecho ha confirmado que se está trabajando en una actualización de seguridad.

Wardle planea mostrar sus descubrimientos el jueves en la Virus Bulletin Conference en Praga y cree que si el ha podido encontrar esta forma de sobrepasar Gatekeeper, es fácil que haya sido localizados por terceros.

In this article

Join the Conversation