「OS Xに採用されているGatekeeperやXProtectは簡単にバイパスすることが可能」OS X 10.10.3でもrootpipe脆弱性を再現したPatrickさんが指摘。


 「AppleがOS Xに採用されているセキュリティツールGatekeeperやXProtectは簡単にバイパスすることが可能」だとセキュリティ研究者のPatrickさんが指摘しているそうです。詳細は以下から。


 4月20~24日にかけてSan Franciscoで開かれたセキュリティ関係のカンファレンス”RSA Conference 2015(@IT)”において、元NASA, NSA, VRLで脆弱性の解析を行い、現在脆弱性チェックサービスSynackのR&D部門でディレクターを務め、OS X 10.10.3でもrootpipe脆弱性を再現できる「Phoenix」を作り上げたPatrick Wardle(@patrickwardle)さんが「AppleのGatekeeperやXProtectは簡単にバイパスすることが可能」だという資料を公開し話題になっているそうです。

 ZDNetやKaspersky LabのBlog”Threatpost“によるとPatrickさんは「攻撃者がMacのセキュリティーツール(GatekeeperとXProtect)をバイパスして攻撃を仕掛けることは簡単な事だ」として以下の点を指摘しています。


“It’s trivial for any attacker to bypass the security tools on Macs,” said Wardle, according to ThreatPost. “If Macs were totally secure, I wouldn’t be here talking.”

Those two security features, Gatekeeper and XProtect, were added in the more recent versions of OS X in response to a rising threat of malware aimed at the alternative operating system.
[Apple security features can be easily bypassed, says researcher – ZDNet]


 GatekeeperはAppleがOS X 10.8 Mountain Lionから採用したセキュリティーツールで、システム環境設定の[セキュリティとプライバシー]にある「Mac App Store(と確認済の開発者)からのアプリケーションを許可」に設定しておけば、危険なアプリを制限できるという機能ですが、


Gatekeeper, added in OS X 10.8 “Mountain Lion,” restricts which apps can be opened and run on a computer. Most have it set to apps verified through the Apple App Store, or from verified developers.

[Apple security features can be easily bypassed, says researcher – ZDNet]




“Gatekeeper doesn’t verify an extra content in the apps. So if I can find an Apple-approved app and get it to load external content, when the user runs it, it will bypass Gatekeeper,” Wardle said in a talk at the RSA Conference here Thursday. “It only verifies the app bundle.”

[Bypassing OSX Security Tools is Trivial, Researcher Says – Threatpost]

 この仕様はOS X 10.10.3 Yosemiteでも変わっていないと指摘しています。


 XProtectはAppleがOS X 10.6 Snow Lepardから導入したMalware検出システムで、危険なアプリやプラグインをブロックする機能がありますが、


XProtect, a rudimentary malware scanner for the Mac introduced even earlier in OS X 10.6 “Snow Leopard,” can block certain apps and plugins from running if there are known vulnerabilities.

[Apple security features can be easily bypassed, says researcher – ZDNet]



Getting past XProtect turns out to be just as simple as bypassing Gatekeeper. Wardle found that by simply recompiling a known piece of OS X malware, which changes the hash, he could get the malware past XProtect and execute it on the machine. Even simpler, he could just change the name of the malware, which also lets it sneak in under the fence.

[Bypassing OSX Security Tools is Trivial, Researcher Says – Threatpost]

 Patrickさんはこれらの方法で自分が作成したMalwareがXProtectをバイパスできる事を確認した上で、サードパーティ製アンチウィルスアプリでの検出チェックも行ったようですが、Norton,Trend Micro, Kasperskey, Integoなど全てのアプリが検出に失敗したようです。

 Patrickさんが公開した資料にはログインからkexts, Launch Daemonsなどさらに”Low-Level”での脆弱性についても解説しているので興味のある方は関連リンクからどうぞ。

Malware Persistence on OS X Yosemite(*PDF) – Patrick Wardle

Apple security features can be easily bypassed, says researcher – ZDNet

Bypassing OSX Security Tools is Trivial, Researcher Says – Threatpost


  1. Apple7743 より:


  2. Apple7743 より:


  3. Apple7743 より:


  4. Apple7743 より:


  5. Apple7743 より:


  6. RonaldCah より:

    Organizations can compel their customers and employees to resolve disputes in arbitration proceedings bound not by state or federal law, but by religious edict.