Um investigador especialista em segurança descobriu que existe uma forma de ultrapassar o mecanismo gatekeeper do macOS através das partilhas de rede.

O Apple Gatekeeper está feito para proteger os utilizadores do OS X através de um determinado número de verificações antes de permitir que a aplicação corra; é o que faz com que as aplicações baixadas no sistema sejam verificadas, por exemplo, a partir da Apple store. Desta forma, caso a aplicação não seja dessa "fonte", a aplicação pode não correr como o desejado.

Como funciona o Gatekeeper

O programa considera tanto as drives externas como partilhas de rede localizações seguras, ou seja, quaisquer aplicações nestas localizações podem correr sem pedir o consentimento do utilizador.

Desta forma, o atacante precisa de tirar proveito de duas funcionalidades: a automontagem (ou autofs) e a falta de certas verificações. A primeira permite que o utilizador monte automaticamente uma partilha de rede acedendo a um determinado diretório. Neste caso, qualquer diretório que comece por "/net". A segunda funcionalidade foi aproveitada/explorada de forma a incluir links simbólicos para arquivos ZIP em localizações arbitrárias. O investigador descobriu que o software responsável por extrair os arquivos ZIP não realiza qualquer tipo de verificação.

O atacante consegue controlar o link simbólico, e efetivamente verificar que a vítima dirige-se a essa localização na rede por ele criada.

Workaround

Desta forma, o workaround sugerido é desabilitar a funcionalidade de automontagem. Para isso, o utilizador deve:

- Editar o ficheiro /etc/auto_master como root

- Comentar a linha que começa por "/net"

- Reiniciar o sistema

Mais informações: https://www.forbes.com/sites/daveywinder/2019/05/26/unpatched-apple-macos-vulnerability-lets-malicious-apps-run-what-you-need-to-know/