Инструмент позволяет хакерам Mac OS X с корневым доступом легко извлекать данные о брелках

Новый инструмент позволяет злоумышленникам Mac OS X с доступом к корневой ОС легко украсть данные пароля для ключей для зарегистрированных пользователей и усиливает опасностей для предоставления административных привилегий приложениям без серьезного рассмотрения.

Инструмент называется keychaindump и был создан финским разработчиком программного обеспечения Юусо Салоненом, автором брандмауэра Radio Silence для Mac OS X.

Брелок для ключей Mac OS X это система управления паролями, предназначенная для безопасного хранения и доступа к паролям пользователей для различных типов учетных записей и приложений.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

«Пароли в файле keychain зашифрованы много раз различными ключами », - сказал Салонен в среду в блоге. «Некоторые из этих ключей зашифровываются с использованием других ключей, хранящихся в одном файле, в стиле русской куклы».

«Клавиша [мастер], которая может открыть самую внешнюю куклу и запускать весь каскад дешифрования, получена из пользовательской пароль входа с помощью PBKDF2 [функция деривации криптографических ключей] », - сказал Салонен в среду в блоге.

Keychaindump от Salonen использует методы распознавания образов для сканирования пространства памяти« securityd »- процесса, который обрабатывает операции с цепочками ключей в Mac OS X - и найдите главный ключ keychain.

Keychaindump не использует уязвимость в Mac OS X или securityd. Тем не менее, он использует выбор дизайна Apple для автоматического разблокирования брекетов пользователей, когда они входят в свои учетные записи и хранят соответствующие основные ключи в памяти для облегчения доступа.

Это не обязательно плохое дизайнерское решение и реализация механизма доступа к цепочке ключей по-другому, например, попросив пользователя вводить свой пароль для ключей, каждый раз, когда приложение должно получить доступ к данным о брелках - не повлияло бы, в конечном счете, на способность злоумышленников с корневым доступом к краже данных брелка. В конце концов, это хорошо известный факт, что вы можете делать почти что угодно в операционной системе из учетной записи root (администратора).

«Новостной flash, root также может форматировать ваш жесткий диск, новости в 11», известный хакер Apple Чарли Миллер сказал в Твиттере, когда узнал о инструменте Salonen.

«То, что я описал, не было уязвимостью безопасности в OS X, так как для этого нужен корневой доступ, - сказал Салонен в четверг по электронной почте. «И, как известно большинству разработчиков, root может делать что угодно».

Что отличает keychaindump от других возможных методов кражи пароля на уровне root - это скорость и легкость, с которой она может достичь своей цели.

Надежды Салонена что этот инструмент будет полезен для авторизованных тестеров проникновения, которые хотят быстро захватить пароли в сценарии с посткоммунальным компрометацией.

Однако этот инструмент может быть также включен в вредоносное ПО, поскольку его исходный код свободно доступен в Интернете .

Mac-вредоносное ПО, работающее под управлением root, не является необычным явлением, Lysa Myers, вирусный охотник на Mac-антивирусе Intego, заявил в четверг по электронной почте. «Два наиболее распространенных способа достижения корневого доступа - это подходы и социальная инженерия. Социальная инженерия является самым распространенным, так как часто довольно легко обмануть кого-то».

Социальная инженерия в этом контексте состоит из вредоносная программа маскирует как законную программу и просит пользователя предоставить ей административный доступ.

«Я лично беспокоюсь о том, как легко получить root на Mac», - сказал Салонен. «Не из-за уязвимостей, а из-за того, что вы в конечном итоге делаете это все время в повседневном использовании».

«Например, я просто просматривал папку« Мои приложения »и заметил, что большинство моих приложений принадлежит от корня, - сказал Салонен. «Даже некритические вещи, такие как IRC-клиенты, видеоплееры, игры, крошечные вспомогательные приложения, даже официальный клиент Twitter. У каждого из этих инсталляторов был некорректный доступ к root. Я не помню, чтобы явным образом предоставлял доступ к корневому сайту Twitter. запускает типичный установщик. Это страшно. "

Авторы вредоносных программ Mac уже проявили интерес к данным о брелках. «Одна угроза, названная DevilRobber, обнаруженная в прошлом году, использовала сценарий для сбора паролей», - сказал Майерс. «Основной трюк в этом случае состоял в том, что он автоматически подтвердил бы системное диалоговое окно, предлагающее пользователю разрешить экспорт своих ключей».

Мало что Apple может сделать, чтобы в конечном итоге остановить злоумышленников с корневым доступом от кражи учетные данные, хранящиеся в цепочке ключей пользователя. Тем не менее, есть несколько способов сделать это немного сложнее.

Apple может, например, лучше запутать ключ ключа ключа keychain в памяти и сделать его труднее для инструмента, такого как keychaindump, найти его и извлечь его, Арно Аббати, аналитик вредоносного ПО Intego, заявил в четверг.

Apple не вернула запрос для комментариев относительно выбора дизайна брелка или последствий для безопасности инструмента Salonen.