Patrick Wardle, cựu nhân viên NSA và là người phụ trách công tác nghiên cứu của công ty bảo mật Synack, phát hiện ra rằng công nghệ phòng vệ Gatekeeper của Apple có thể bị qua mặt, khiến cho các đoạn mã chưa được ký số có thể được thực thi.
Theo thiết kế, tiện ích Gatekeeper được cài sẵn trong các máy tính Mac OS X chỉ cho phép các đoạn mã đã ký số được thực thi và trong một số trường hợp, chỉ có những gói phần mềm tải từ Mac App Store mới được chạy.
Theo Wardle, các cơ chế dựng sẵn của Apple như Gatekeeper, XProtect anti-malware, sandbox và yêu cầu code-signing của nhân hệ điều hành có thể dễ dàng vượt qua và iOS được bảo mật từ bên trong tốt hơn OS X.
Trong quá trình nghiên cứu, Wardle còn phát hiện ra một cách để vượt qua bản vá mới mà Apple dùng để khắc phục lỗ hổng leo quyền "rootpipe" trong OS X. Wardle cũng tự viết một mã độc để kiểm tra xem các phần mềm chống mã độc có thể phát hiện ra nó hay không. Và kết quả là tất cả các phần mềm chống mã độc đều bó tay.
Khi trao đổi với The Register, Wardle hy vọng rằng bài phát biểu với tiêu đề Writing Bad@ss OS X Malware tại hội thảo RSA vào tháng trước sẽ thúc đẩy những người bảo vệ hệ điều hành Mac sẽ cố gắng làm tốt hơn công viêc của họ. Ông nói “Mã độc trên OS X rất nghiệp dư, thậm chí là ở mức cơ bản. Chúng chỉ dựa vào các cơ chế dễ bị phát hiện và thường dựa vào việc lây cho người dùng thông qua các thủ thuật lừa đảo phi kỹ thuật như cung cấp bản PhotoShop miễn phí (bị nhiễm mã độc)”.
Số mã độc Mac mới chỉ khoảng vài trăm hay vài ngàn. Những người phát triển ứng dụng diệt virus trên máy Mac có thể phát hiện phần lớn những mã độc hiện có, nhưng lại chuẩn bị rất kém cho những kiểu mã độc tiên tiến. "Những người phát triển AV (anti-virus) có vẻ đang ngủ quên trên thắng lợi," Wardle nói. Ví dụ, những các trình diệt virus trên Windows có tính năng phân tích heuristic và phân tích hành vi trong thời gian chạy nhưng trên Mac thì không.
Đến tận gần đây, tất cả các gói phần mềm bảo mật Mac vẫn được tải xuống qua kết nối không mã hóa http, chỉ dựa vào khả năng kiểm tra của Garekeeper. Việc Wardle phát hiện cách qua mặt Gatekeeper đã mở ra cơ hội cho các tấn công kiểu man-in-the-middle. Những kẻ tấn công trình độ cao có thể lợi dụng quá trình tải xuống đó để chèn mã độc vào các bản phần mềm.
Theo Wardle, Apple có thể khóa chặt các máy Mac và kiểm soát chặt hơn các ứng dụng của bên thứ ba nhưng việc kiểm soát máy để bản sẽ khó hơn nhiều so với điện thoại hay máy tính bảng.
Khi được hỏi về việc liệu nghiên cứu của ông có thể giúp kẻ xấu biết những điều chúng chưa từng nghĩ tới, Wardle nói, kẻ xấu đã làm những việc đó rồi và nêu ví dụ về việc sau khi lỗ hổng Rootpipe zero-day privileged execution vulnerability [CVE-2015-1130]) được công bố, người ta mới phát hiện ra nhiều mã độc trong OS X đã lợi dụng lỗ hổng đó từ trước ngày nó được báo cho Apple. Trước khi Wardle công bố kết quả nghiên cứu, một số nhà cung cấp đã chuyển sang sử dụng kết nối https.
Wardle cho biết, ông đã cung cấp các công cụ phần mềm miễn phí để bảo mật các máy Mac tại địa chỉ objective-see.com.
Một vấn đề khác là hệ điều hành cho máy để bàn của Apple cho phép các ứng dụng không ký số lưu trong nội tại máy được thực thi. Khi tin tặc nắm quyền điều khiển máy, chúng có thể sửa một chương trình đã ký số rồi ký lại. OS X cũng có thể bị tấn công theo kiểu bắt cóc các thư viện liên kết động, thông qua việc lợi dụng các tính năng không công bố của trình tải thư viện động của hệ điều hành. Kiểu tấn công mới này (//www.virusbtn.com/virusbulletin/archive/2015/03/vb201503-dylib-hijacking) tương tự như kiểu tấn công đã được biết đến từ lâu trên Windows.
Nghiên cứu của Wardle còn bao gồm các khả năng sử dụng các chương trình mã độc được mã hóa trên Mac và các kỹ thuật che giấu kiểu rootkit, được trình bày chi tiết trong tài liệu trình bày tại hội thảo RSA 2015 (//s3.amazonaws.com/s3.synack.com/RSAC+2015+Final.pdf).
