Descubren un nuevo Bypass para Gatekeeper

No es la primera vez que se habla de Gatekeeper, la característica de seguridad que ofrece Apple en su lucha contra el malware. Gatekeeper ayuda a verificar si un código está firmado como es debido antes de poder ejecutar una aplicación, si no es así, previene al usuario de su ejecución. En esta ocasión el experto en seguridad, Filippo Cavallarin, ha descubierto una nueva forma de saltarse esta protección de manera muy sencilla y que actualmente no tiene solución.

¿Cómo se puede saltar esta medida de seguridad? 

Se ha descubierto que Gatekeeper considera los discos externos, como la red local, como lugares seguros, permitiendo por defecto la ejecución de las aplicaciones sin verificar firma alguna, dejando al usuario vulnerable ante una aplicación maliciosa.

Figura 1: Gatekeeper Bypass

Filippo asegura haber informado del fallo a Apple el 22 febrero de 2019, y la compañía supuestamente lo iba a solucionar el 15 de mayo, pero aún no han sacado una solución. Al pasar los 90 días el investigador ha hecho público el fallo.

El ejemplo de ataque que nos proponen es el que sigue:

1. Crear un fichero zip con enlace simbólico a un disco virtual con automontaje. 
2. Crear una aplicación con el código que desea ejecutar. 
3. Crear un recurso compartido NFS accesible públicamente y poner la app en él. 
4. Cargar el zip en Internet Cargar el zip en algún lugar de Internet y descargarlo para que obtenga la ‘flag’ de cuarentena utilizada por Gatekeeper.
5. Extraer el zip y explorarlo.

Esperemos que Apple corrija pronto este problema, mientras tanto a tener cuidado y deshabilitar el automontaje.