'App-beveiliging Mountain Lion schiet tekort'

© CIDimport

'App-beveiliging Mountain Lion schiet tekort'

Geplaatst: 21 februari 2012 - 12:59

Aangepast: 16 november 2022 - 09:23

Jasper Bakker

Het antimalwaresysteem Gatekeeper van de volgende OS X-versie laat gaten liggen, constateert securitybedrijf Sophos. Kwaadaardige code in bijvoorbeeld PDF-bestanden komt door.

De ingebouwde applicatiecontrole die Apple aanprijst voor OS X Mountain Lion is onvolledig in de ogen van securityleverancier Sophos. Het bedrijf constateert dat Gatekeeper alleen controleert op uitvoerbare programma's en dan nog alleen als die afkomstig zijn van internet én als het downloadende programma zich 'aanmeldt' bij Gatekeeper.

Ingebedde malware

De grootste malwaredreiging is weliswaar online te vinden, maar intussen zijn malafide programma's allang niet meer het grootste gevaar. Cybercriminelen gebruiken sinds jaar en dag kwaadaardige code die verborgen zit in schijnbaar onschuldige bestanden. PDF-documenten en Flash-content, maar ook Word- en Excel-bestanden zijn veel misbruikt voor dit doel.

Aanvallen via die wegen worden niet tegengehouden door de applicatiebeveiliging die Mountain Lion deze zomer brengt. Hetzelfde geldt voor uitvoerbare code die wordt binnengehaald door programma's die hun downloads niet 'aanmelden' bij Gatekeeper. De whitelisting van die bescherming slaat alleen aan als het downloadende programma dit aanroept. Bijvoorbeeld BitTorrent-programma's doen dit niet, meldt Sophos.

Bovendien geldt de whitelist-scan alleen voor internetverkeer. Alle bestanden en programma's van usb-sticks en -drives, van cd's en dvd's en zelfs van lokale netwerken komen ongezien door. Installeren gebeurt dan ongehinderd.

Wel risico-vermindering

Sophos concludeert dat Apple's implementatie fundamentele fouten heeft. Het securitybedrijf erkent wel dat Apple hiermee het risico vermindert voor Mac-gebruikers, maar dan alleen voor diegenen die volledig vertrouwen op de Mac App Store en browsers zoals Apple's eigen Safari. Gatekeeper is niet volledig en niet toekomstgericht.

"Het adresseert slechts het Trojan-probleem wat tot op heden het voornaamste vehikel is geweest om malware te bezorgen op OS X", schrijft security-expert Chester Wisniewski van Sophos. Hij denkt dat cybercriminelen zich nu simpelweg op andere mogelijkheden storten om meer geavanceerde Mac-malware te maken.

Verder is Gatekeeper gebaseerd op de XProtect-technologie die al dienst doet in OS X sinds Snow Leopard. Tot op heden werkt dat als blacklist voor bekende en specifieke malware-gevallen, waarbij malwaremakers met kleine wijzigingen detectie kunnen voorkomen. Eerder is XProtect zelf al uitgeschakeld door een Trojan.

Apps versus externe apps

OS X-gebruikers krijgen in Mountain Lion drie opties voor Gatekeeper: aan, uit of 'half aan'. Eerstgenoemde staat alleen applicaties toe die uit de Mac App Store komen. Laatstgenoemde instelling laat naast apps uit Apple's Mac-winkel ook programma's toe die zijn ondertekend door de makers ervan. Die developers moeten daarvoor dan aankloppen bij Apple.

De beruchte hacker Charlie Miller heeft eerder al via een goedgekeurde app kwaadaardige code op de iPhone weten te krijgen. Zijn app, die kortstondig live stond in de iTunes App Store, haalde zelf nieuwe code binnen vanaf servers die onder Millers controle stonden. Apple heeft meteen hierna ingegrepen: de app is direct verwijderd en Millers developer-account is opgeheven.

Deel dit artikel
Voeg toe aan favorieten