Уязвимость macOS Ventura в системе безопасности App Management раскрыта спустя 10 месяцев после обнаружения. Проблема до сих пор не закрыта

В macOS Ventura обнаружен новый эксплойт, позволяющий обойти App Management, который был раскрыт после того, как Apple не смогла исправить его за десять месяцев. Джефф Джонсон – разработчик, который на протяжении многих лет находил эксплойты в различных онлайн-сервисах и программном обеспечении. Однако в своем последнем исследовании проблемы сообщил, что компания Apple так и не выпустила обновление, которое решило эту проблему.

После написания статьи в блоге в октябре о функции управления приложениями в macOS Ventura, Джонсон обнаружил обходной путь для управления приложениями, не требующий полного доступа к диску. В то время он отправил проблему в службу безопасности продуктов Apple, ожидая ответа.

Обнаружив обход в 19 октября 2022 г., служба безопасности продуктов Apple 21 октября подтвердила существование отчета, но, судя по всему, ничего не предприняла. Прождав десять месяцев, Джонсон опубликовал эксплойт 19 августа 2023 года.

Хотя обычно информация об ошибках становится достоянием общественности через определенное время после того, как разработчик был проинформирован о проблеме, обычно через 60-120 дней, чтобы дать время на разработку и выпуск исправления, Джонсон выкладывает эксплойт в открытый доступ, поскольку «я потерял всякую уверенность в том, что Apple своевременно решит эту проблему».

Отметив абсурдность десятимесячного ожидания исправления эксплойта, Джонсон признал, что не сможет получить вознаграждение Apple Security Bounty. Однако Джонсон также утверждает, что Apple не обещала ничего выплатить, и настаивает на том, что политика Apple гласит, что она отказывается выплачивать или рассчитывать вознаграждение до тех пор, пока не будет выпущено исправление проблемы, так что он «может ждать вечность впустую».

По словам Джонсона, его заслуги были отмечены в примечаниях по безопасности macOS Ventura 13.4, и ему сообщили, что его отчет помог исправить другой эксплойт, но выплата вознаграждения не предусмотрена.

Эксплойт

В октябре в своем блоге Джонсон сообщил, что существует как минимум шесть различных способов получения разрешений на управление приложениями, но шестой способ держал в секрете. Уязвимость заключается в шестом способе.

По словам разработчика, она связана с песочницей приложений, поскольку он случайно обнаружил, что приложение, находящееся в песочнице, может изменять файлы, которые оно не должно изменять. Речь идет о файлах, хранящихся в пакете подписанного приложения, которое должно было быть защищено системой безопасности App Management.

Хотя приложение, находящееся в «песочнице», имеет ограниченный доступ к файловой системе, папка Applications является частью самой «песочницы». Приложение, не находящееся в «песочнице», также может открывать файлы в приложении, находящемся в «песочнице», что может расширить «песочницу» приложения.

Для демонстрации проблемы Джонсон выпустил пример проекта Xcode, включающий исходный код двух приложений, причем приложение, находящееся в песочнице, содержится в версии, не находящейся в песочнице. Приложение-помощник, находящееся в песочнице, представляет собой приложение, основанное на документах, которое может перезаписывать содержимое файла и сохранять его.

По словам Джонсона, перезапись файла полностью обходит App Management в macOS 13.5.1. «Прямолинейность и простота обхода просто поражает».

Это не первое родео эксплойтов для macOS. Для macOS Mojave в июне 2020 года он создал эксплойт для обхода защиты конфиденциальности и безопасности файлов, назвав тогдашние системы Apple «театром безопасности».

Подробнее