研究人员发现,苹果公司即将于9月25日发布的macOS High Sierra中存在安全隐患,攻击者能绕过macOS High Sierra 10.13中名为“安全内核扩展加载”(SKEL)的新安全功能,加载恶意内核扩展。
与Linux和Windows一样,当应用程序执行需要访问较低OS版本的操作时,苹果macOS允许应用程序加载第三方内部扩展。
SKEL旨在改进内核扩展加载过程
如果想在应用安装过程中加载内核扩展(KEXT文件),开发人员需使用特殊的内核代码签名证书为内核扩展签名,而苹果对证书的颁发机构十分谨慎。
9月25日即将发布的macOS High Sierra中引入了SKEL功能以改进KEXT加载过程安全。当应用程序试图加载内核扩展时,SKEL会显示弹出窗口。
研究人员发现可绕过SKEL安全功能
macOS用户可能会满意苹果部署SKEL为改进操作系统安全所做的努力。
而知名苹果安全研究人员兼Synack首席安全研究员Patrick Wardle(帕特里克·沃德尔)却不这样看。Wardle声称,苹果最近推出的SKEL系统“只会阻碍非恶意开发人员”(第三方macOS开发人员,例如设计安全产品的开发人员)。
Wardle还表示,由于这项功能的实现存在漏洞,恶意分子可能丝毫不会受SKEL影响。为证明自己的观点,Wardle在Synack网站和个人博客发布细节详述攻击者如何绕过macOS High Sierra 中的SKEL保护功能。Wardle表示,当引入这类安全功能时,通常只会将第三方开发人员和用户的工作复杂化,而恶意分子不会受到影响(他们从不循规蹈矩)。High Sierra中SKEL的实现缺陷就是最佳例子。
Wardle去年开始调查KEXT加载绕过技术,并在2016年DEF CON安全大会上详述了这种技术。
京公网安备 11010502049343号