Gatekeeper es una función de seguridad del sistema operativo macOS de Apple . [1] [2] Hace cumplir la firma de código y verifica las aplicaciones descargadas antes de permitir que se ejecuten, lo que reduce la probabilidad de ejecutar malware inadvertidamente . Gatekeeper se basa en File Quarantine , que se introdujo en Mac OS X Leopard y se expandió en Mac OS X Snow Leopard . [3] [4] La función se originó en la versión 10.7.3 de Mac OS X Lion como la utilidad de línea de comandos spctl . [5] [6] Originalmente se agregó una interfaz gráfica de usuario en OS X Mountain Lion (10.8), pero se retroportó a Lion con la actualización 10.7.5. [7]
Desarrollador (es) | Apple Inc. |
---|---|
Versión inicial | 25 de julio de 2012 |
Sistema operativo | Mac OS |
Funciones
Configuración
En el panel de seguridad y privacidad de Preferencias del sistema , el usuario tiene tres opciones:
- Mac App Store
- Permite que solo se inicien las aplicaciones descargadas de Mac App Store .
- Mac App Store y desarrolladores identificados
- Permite el lanzamiento de aplicaciones descargadas de Mac App Store y aplicaciones firmadas por desarrolladores certificados de Apple . Esta es la configuración predeterminada desde Mountain Lion.
- En cualquier lugar
- Permite que se inicien todas las aplicaciones. Esto efectivamente desactiva Gatekeeper. Esta es la configuración predeterminada en Lion. Desde macOS Sierra , esta opción está oculta de forma predeterminada. [8] [9]
- Sin embargo, esta opción se puede volver a habilitar usando el comando 'sudo spctl --master-disable' desde la Terminal y autenticando con una contraseña de administrador.
La utilidad de línea de comandos spctl proporciona controles granulares, como reglas personalizadas y permisos individuales o generales, así como una opción para desactivar Gatekeeper. [6]
Cuarentena
Al descargar una aplicación, se puede agregar un atributo de archivo extendido particular ("indicador de cuarentena") al archivo descargado. [10] Este atributo lo agrega la aplicación que descarga el archivo, como un navegador web o un cliente de correo electrónico , pero generalmente no lo agrega el software cliente de BitTorrent común , como Transmission , y los desarrolladores de aplicaciones deberán implementar esta función en su aplicaciones y no es implementado por el sistema. El sistema también puede imponer este comportamiento a aplicaciones individuales mediante un sistema basado en firmas llamado Xprotect. [11]
Ejecución
Cuando el usuario intenta abrir una aplicación con tal atributo, el sistema pospondrá la ejecución y verificará si es:
- en la lista negra
- código firmado por Apple o un desarrollador certificado,
- los contenidos firmados con código aún coinciden con la firma.
Desde Mac OS X Snow Leopard, el sistema mantiene dos listas negras para identificar malware conocido o software inseguro. Las listas negras se actualizan periódicamente. Si la aplicación está en la lista negra, File Quarantine se negará a abrirla y recomendará al usuario que la mueva a la papelera . [11] [12]
Gatekeeper se negará a abrir la aplicación si no se cumplen los requisitos de firma del código. Apple puede revocar el certificado del desarrollador con el que se firmó la aplicación y evitar una mayor distribución. [1] [3]
Una vez que una aplicación haya pasado la cuarentena de archivos o el controlador de acceso, se permitirá que se ejecute normalmente y no se volverá a verificar. [1] [3]
Anular
Para anular Gatekeeper, el usuario (que actúa como administrador) tiene que cambiar a una política más indulgente desde el panel de seguridad y privacidad de Preferencias del sistema o autorizar una anulación manual para una aplicación en particular, ya sea abriendo la aplicación desde el menú contextual o agregándolo con spctl . [1]
Aleatorización de ruta
Los desarrolladores pueden firmar imágenes de disco que el sistema puede verificar como una unidad. En macOS Sierra, esto permite a los desarrolladores garantizar la integridad de todos los archivos empaquetados y evitar que los atacantes los infecten y luego los redistribuyan. Además, la "asignación aleatoria de rutas" ejecuta paquetes de aplicaciones desde una ruta oculta y aleatoria y evita que accedan a archivos externos en relación con su ubicación. Esta función se desactiva si el paquete de la aplicación se originó a partir de un paquete de instalación firmado o una imagen de disco o si el usuario movió manualmente la aplicación sin ningún otro archivo a otro directorio. [8]
Trascendencia
Se ha reconocido la eficacia y la razón de ser de Gatekeeper en la lucha contra el malware, [3] pero se han respondido con reservas. El investigador de seguridad Chris Miller señaló que Gatekeeper verificará el certificado del desarrollador y consultará la lista de malware conocido solo cuando la aplicación se abra por primera vez. El malware que ya pasó por Gatekeeper no se detendrá. [13] Además, Gatekeeper solo verificará las aplicaciones que tengan el indicador de cuarentena. Como esta bandera es agregada por otras aplicaciones y no por el sistema, cualquier negligencia o falla al hacerlo no activa el Gatekeeper. Según el blogger de seguridad Thomas Reed, los clientes de BitTorrent son infractores frecuentes de esto. La bandera tampoco se agrega si la aplicación proviene de una fuente diferente, como recursos compartidos de red y unidades flash USB . [10] [13] También se han planteado preguntas sobre el proceso de registro para adquirir un certificado de desarrollador y la posibilidad de robo del certificado. [14]
En septiembre de 2015, el investigador de seguridad Patrick Wardle escribió sobre otra deficiencia que se refiere a las aplicaciones que se distribuyen con archivos externos, como bibliotecas o incluso archivos HTML que pueden contener JavaScript . [8] Un atacante puede manipular esos archivos y, a través de ellos, explotar una vulnerabilidad en la aplicación firmada. La aplicación y sus archivos externos se pueden redistribuir, dejando intacta la firma original del paquete de la aplicación. Como Gatekeeper no verifica dichos archivos individuales, la seguridad puede verse comprometida. [15] Con la aleatorización de rutas y las imágenes de disco firmadas, Apple proporcionó mecanismos para mitigar este problema en macOS Sierra. [8]
Ver también
- Protección de la integridad del sistema
- Sandbox (seguridad informática)
Referencias
- ^ a b c d "OS X: Acerca de Gatekeeper" . Manzana . 13 de febrero de 2015 . Consultado el 18 de junio de 2015 .
- ^ Siegler, MG (16 de febrero de 2012). "¡Sorpresa! OS X Mountain Lion ruge en la existencia (para desarrolladores de hoy, para todos este verano)" . TechCrunch . AOL Inc . Consultado el 3 de marzo de 2012 .
- ^ a b c d Siracusa, John (25 de julio de 2012). "OS X 10.8 Mountain Lion: la revisión de Ars Technica" . Ars Technica . págs. 14-15. Archivado desde el original el 14 de marzo de 2016 . Consultado el 17 de junio de 2016 .
- ^ Reed, Thomas (25 de abril de 2014). "Guía de software malicioso de Mac: ¿Cómo me protege Mac OS X?" . El Mac seguro . Consultado el 6 de octubre de 2016 .
- ^ Ullrich, Johannes (22 de febrero de 2012). "Cómo probar Gatekeeper de OS X Mountain Lion en Lion" . Centro de tormenta de Internet . Consultado el 27 de julio de 2012 .
- ^ a b "spctl (8)" . Biblioteca de desarrolladores de Mac . Manzana . Consultado el 27 de julio de 2012 .
- ^ "Acerca de la actualización OS X Lion v10.7.5" . Manzana . 13 de febrero de 2015 . Consultado el 18 de junio de 2015 .
- ^ a b c d "Novedades en seguridad" . Desarrollador de Apple (video). 15 de junio de 2016. A las 21:45 horas . Consultado el 17 de junio de 2016 .
- ^ Cunningham, Andrew (15 de junio de 2016). "Algunos cambios nerd en macOS e iOS 10: disparos RAW, un Gatekeeper más duro, más" . Ars Technica Reino Unido . Archivado desde el original el 16 de junio de 2016 . Consultado el 17 de junio de 2016 .
- ^ a b Reed, Thomas (6 de octubre de 2015). "Pasando por alto el Gatekeeper de Apple" . Malwarebytes Labs . Consultado el 17 de junio de 2016 .
- ^ a b Moren, Dan (26 de agosto de 2009). "Dentro de la protección contra malware oculta de Snow Leopard" . Macworld . Consultado el 30 de septiembre de 2016 .
- ^ "Sobre el '¿Estás seguro de que quieres abrirlo?' alerta (cuarentena de archivos / detección de malware conocido) en OS X " . Soporte de Apple . 22 de marzo de 2016. Archivado desde el original el 17 de junio de 2016 . Consultado el 30 de septiembre de 2016 .
- ^ a b Foresman, Chris (17 de febrero de 2012). "Desarrolladores de Mac: Gatekeeper es una preocupación, pero aún da control a los usuarios avanzados" . Ars Technica . Consultado el 18 de junio de 2015 .
- ^ Chatterjee, Surojit (21 de febrero de 2012). "OS X Mountain Lion Gatekeeper: ¿Puede realmente mantener alejado el malware?" . Tiempos de negocios internacionales . Consultado el 3 de marzo de 2012 .
- ^ Bien, Dan. "El simple exploit drop-dead pasa por alto por completo el Gatekeeper de malware de Mac" . Ars Technica . Archivado desde el original el 20 de marzo de 2016 . Consultado el 17 de junio de 2016 .