Onderzoekers vinden bug in macOS die al decennium bestaat

Een veiligheidslek in de manier waarop macOS omgaat met apps van derden, zorgt ervoor dat kwaadwillenden eenvoudig virusscanners kunnen omzeilen. Onderzoekers melden een fout gevonden te hebben die al dik een decennium gebruikt zou kunnen worden om Apple-systemen te hacken.

Dat melden onderzoekers van de firma Okta Inc., die stellen dat het gaat om de manier waarop de Apple-API code controleert. Virusscanners kijken vaak of bestanden gesigneerd zijn, en bepalen onder meer op basis daarvan of de code ook echt van de ontwikkelaar afkomstig is die bij de bestanden hoort. Het mechanisme op macOS is relatief eenvoudig te manipuleren, zodat gedacht wordt dat de kwaadaardige code bij een programma hoort.

Code signing

Volgens de site Ars Technica draait het om een Fat/Universal-bestand. Dat is een binair formaat dat uitvoerbare bestanden kan bevatten. Als kwaadwillenden zorgen dat er een speciaal voorbereid Fat/Universal-bestand meegestuurd wordt, beschouwen sommige virusscanners de software als veilig.

De fout heeft enkel invloed op macOS en oudere versies van OSX, maar desondanks worden diverse ontwikkelaars getroffen. Onder meer VirusTotal, Google Santa, Facebooks OSQuery, Objective Developments LittleSnith, F-Secure’s xFence en Yelps OSXCollector hebben met de kwetsbaarheid te maken.

Voordat Okta over de kwetsbaarheid publiceerde, heeft het alle bedrijven hierover ingelicht. Facebook, Google en FSecure hebben hem al aangepakt in updates. Yelp stelt dat het een tussentijdse oplossing heeft gebouwd die voorlopig zorgt dat de kwetsbaarheid niet te misbruiken valt.

In een reactie laat Apple weten dat de schuld in dit geval bij derde partijen ligt; zij zouden “extra werk” moeten verrichten om de identiteit van bestanden te controleren.