Os sistemas operativos da Apple gozam de uma estimada confiança por parte dos utilizadores e de todos que acompanham este mundo das tecnologias. Nos últimos tempos a marca de Cupertino tem experimentado uma realidade nova, com mais espinhos, são vários os casos de falhas de segurança que assolam quer o iOS, quer o OS X. Mas os sistemas de segurança destes sistemas não são eficazes?
Segundo um especialista de segurança, Patrick Wardle, director de pesquisas da Synack, a eficácia é relativa, porque os sistemas são fáceis de enganar!
Ao discursar na conferência RSA, na passada semana, Patrick Wardle revelou que as ferramentas de segurança que a Apple colocou no OSX, o Gatekeeper e o XProtect são importantes para manter o sistema seguro, mas que podem ser facilmente contornadas.
Estas são afirmações que resultam de uma análise criteriosa e muito detalhada do que qualquer utilizador pode ter acesso no OSX e que revelaram algumas fragilidades.
Gatekeeper
O Gatekeeper pretende ser uma protecção contra a utilização de aplicações mal intencionadas e que pretendem aceder a áreas reservadas do sistema e aos dados dos utilizadores. Ao controlar e limitar a instalação das aplicações às que estão na loja da Apple e aos programadores credenciados, consegue garantir a segurança que os utilizadores pretendem.
Gatekeeper doesn’t verify an extra content in the apps. So if I can find an Apple-approved app and get it to load external content, when the user runs it, it will bypass Gatekeeper. It only verifies the app bundle.
O problema, segundo Patrick Wardle, está no facto do Gatekeeper apenas verificar as aplicações como um pacote e não controlar conteúdos externos que estas possam carregar.
XProtect
O XProtect é um complemento de segurança ao Gatekeeper. É a garantia de que não existe malware no OSX e que este não chega a ser instalado no sistema.
É uma ferramenta essencial e que funciona bem, mas apenas para as assinaturas que o sistema conhece. Deveria ter a capacidade de se adaptar e detectar variações de malwares que existem, mas não o faz.
O que Patrick Wardle descobriu foi que basta recompilar qualquer ameaça, o que gera novas hashes, e o XProtect deixa de as detectar, mesmo sendo a mesma ameaça, com as mesmas características. Algo simples com o renomear do malware consegue impedir que o XProtect o detecte, deixando o sistema desprotegido e vulnerável.
Sandbox
O terceiro elemento de segurança que Patrick Wardle avaliou foi a sandbox do OSX. Esta é uma das mais bem conseguidas protecções do sistema, mas também ai existem falhas e graves.
Existem várias falhas já anunciadas pelo Project Zero da Google, que ao serem exploradas conseguem dar acesso a áreas sensíveis do OSX.
The code signing just checks for a signature and if it’s not there, it doesn’t do anything and lets the app run. I can unsign a signed app and the loader has no way to stop it from running.
Uma das formas da sandbox implementar a segurança é através da assinatura do código, mas na verdade caso ela não esteja presente o resultado é o mesmo, não oferecendo por isso qualquer segurança.
The check for this runs in user mode, which is a huge security fail because the attacker would be in user mode. He could just modify a kernel extension or load unsigned ones.
Com o OS X Mavericks surgiu a obrigatoriedade de assinar todo o código que corre ao nível do Kernel, mas a verdade é que também este sistema de verificações tem falhas e pode ser contornado.
Esta avaliação dá bastantes postas aos responsáveis da Apple pela segurança dos seus sistemas, o que só por si é uma vantagem. O mundo não é um lugar seguro e a Internet é um sítio muito mal frequentado, a responsabilidade de evitar que a ocasião faça o ladrão está nas mãos da Apple e as falhas de segurança, embora resolvidas rapidamente, estão mais assíduas, o que não deixa os utilizadores mais inseguros.