.
A Apple introduziu no ano passado um recurso de segurança chamado App Management, projetado para impedir que um aplicativo modifique outro sem autorização no macOS Ventura – mas um desenvolvedor afirma que não é muito bom em seu trabalho em algumas circunstâncias.
“Se um aplicativo for modificado por algo que não seja assinado pela mesma equipe de desenvolvimento e não seja permitido por um NSUpdateSecurityPolicyo macOS bloqueará a modificação e notificará o usuário de que um aplicativo deseja gerenciar outros aplicativos”, explicou Justin Sagurton, da equipe de engenharia de privacidade da Apple, em um apresentação de vídeo na Fruity Computer Seller’s 2022 Worldwide Developers Conference.
Infelizmente, esse mecanismo de segurança específico – disponível para os usuários em Configurações do sistema -> Segurança e privacidade -> Gerenciamento de aplicativos – parece não gerenciar muito bem a segurança do aplicativo.
Em outubro passado, Jeff Johnson, que desenvolve software para várias plataformas da Apple por meio de sua Underpass App Company, descobriu que aplicativos em área restrita pode ignorar o gerenciamento de aplicativos.
Um aplicativo em área restrita pode modificar um arquivo que deveria ser protegido pelo App Management
O bug que ele encontrou é semelhante a um desvio do Gatekeeper – um recurso do macOS projetado para garantir que apenas códigos confiáveis possam ser executados em computadores Apple – identificados por pesquisadores da Microsoft ano passado.
Em um postagem no blog na segunda-feira, Johnson descreve como conseguiu modificar um arquivo de configurações do Firefox, update-settings.inino TextEdit, um aplicativo macOS, para alterar seu comportamento sem acionar a intervenção do App Management.
“TextEdit é sandboxed”, explica ele em seu post. “Ironicamente, o sandbox foi projetado para prevenir ataques, mas neste caso ele permite um ataque. Esse é o bug, a vulnerabilidade. Um aplicativo em sandbox pode modificar um arquivo que deveria estar protegido pelo App Management.”
Mas não se trata apenas de um risco de integridade de arquivo apresentado por um invasor local. Prova de conceito de Johnson explorar [ZIP] consiste em um aplicativo não sandbox incorporado em um sandbox. Quando baixado da Internet, ele solicita ao usuário um caminho de arquivo e, em seguida, delega a alteração do arquivo ao aplicativo de área restrita incorporado.
Portanto, a falha de gerenciamento de aplicativos pode ser usada como parte de uma cadeia de ataque iniciada por meio de um arquivo malicioso baixado.
Johnson diz que testou seu ataque de prova de conceito contra o macOS 13.5.1, lançado há cinco dias, e ignora o gerenciamento de aplicativos, permitindo que qualquer arquivo no pacote de aplicativos (o executável principal, um arquivo de configuração ou uma licença) seja alterado. E o sistema de gerenciamento de aplicativos não protesta.
Em um postagem anteriorele diz que relatou o bug à Apple em 19 de outubro de 2022, e a gigante do iPhone reconheceu o relatório do bug em 21 de outubro de 2022 – três dias antes do primeiro lançamento geral do macOS Ventura (macOS 13), o lançamento suportado mais atual do Sistema operacional de desktop da Apple.
Mais de 300 dias depois, Johnson diz que o bug continua sem correção, então ele decidiu torná-lo público.
“A Apple não disse nada sobre o quão sério eles consideram o problema, embora talvez suas ações falem mais alto que palavras”, disse Johnson. Strong The One em um e-mail. “Pedi à Apple Product Security para estimar o pagamento da recompensa e eles recusaram. Em todas as comunicações com a Apple Product Security, eles se recusam a dizer muito, o que os torna muito frustrantes de se trabalhar.”
A relutância da Apple em se comunicar abertamente com a comunidade de segurança tem sido um ponto de discórdia de longa data entre aqueles que procuram falhas no software e hardware da gigante da tecnologia, conforme sublinhado pelas objeções levantadas por pesquisadores após a malfadada proposta da empresa em 2021 para digitalizar conteúdo em iDevices para material ilegal de abuso infantil.
O silêncio de Cupertino sobre os bugs levou o desenvolvedor Tim Burks em 2008 a criar OpenRadarName – um site de relatórios de bugs da comunidade dedicado a mostrar erros de programação que afetam os sistemas operacionais da Apple – porque o próprio sistema de relatórios de bugs do Radar não é disponíveis ao público em geral.
A Apple não respondeu a um pedido de comentário, como costuma acontecer quando contatada por Strong The One.
“Eu diria que minha vulnerabilidade torna o App Management nulo e sem efeito”, disse Johnson. “A proteção nunca foi eficaz. A Apple a entregou com uma brecha desde o primeiro dia. A vulnerabilidade é bastante trivial de se explorar.”
No entanto, Johnson disse que, como o App Management é uma nova adição ao macOS Ventura, o macOS atual não é mais vulnerável do que as versões anteriores que não tinham o recurso quebrado.
“É por isso que não me sinto tão mal em divulgar publicamente a vulnerabilidade”, disse ele. “Minha divulgação não deixou os usuários de Mac em situação pior do que antes; é simplesmente o caso de que o App Management nunca deixou os usuários de Mac em situação melhor do que antes. O novo recurso não funcionou como anunciado.” ®
.
