최근 OS X에 추가된 Gatekeeper와 XProtect 등의 보안 장치를 우회하여 권한을 탈취하는 건 간단하다고 한 연구자가 발언

 

- Gatekeeper는 OS X에서 말웨어 실행 방지를 위한 핵심 기술. 사용자는 이를 이용해 앱스토어에서 허용된 앱만 실행 가능하도록 제한할 수 있음. 이러한 설정이 활성화되면, 사인된 합법적인 앱들만 실행 가능.  

 

- 보안회사 Synack의 연구 책임자인 Patrick Wardle은 이러한 제한을 우회하기는 쉬운 일이라고 발언 (4/23 RSA 컨퍼런스)

“Gatekeeper는 앱에 포함된 추가 콘텐츠는 검증하지 않음. 그래서 애플이 인증한 앱에 추가 콘텐츠를 포함시킨 후, 사용자가 이를 실행하게 하면, Gatekeeper를 우회할 수 있음" 

- Gatekeeper를 XProtect가 보완하는데, 이는 Apple의 anti-malware system임. 말웨어는 OS X에 큰 문제는 아니지만, 분명히 잘 알려진 일부 말웨어 시리즈가 존재하고 있고 더 많은 말웨어가 제작되고 있음. 

- XProtect를 우회하는 것도 Gatekeeper만틈 쉬운 것으로 밝혀졌다 함. 그는 알려진 OS X 말웨어를 단순히 재컴파일하여 해쉬값을 바꿔 XProtect를 통과해 실행할 수 있었음. 더 쉽게는 단순히 말웨어 이름을 바꾸는 것만으로도 가능했음.

 - OS X 또한 샌드박스를 포함하고 있는데, 그는 이는 잘 설계되었지만 몇 가지 알려진 OS X 커널 단의 취약점을 이용하면 샌드박스를 우회할 수 있다고 말함. Google의 Project Zero가 그러한 버그를 발견하고 공개했고, Wardle은 이중 아무거나 하나를 이용해 샌드박스를 우회할 수 있었다고 함. “샌드박스 기술은 강력하지만, 이를 우회할 수 있는 많은 버그가 존재함"

- OS X의 또 하나 핵심 보안기술은 코드 사이닝 사용임. 그러나, 이 또한 별로 우회하기 어렵지 않음. "코드 사이닝은 단순히 사인이 있는 지만을 체크하고 만약 없어도 아무것도 하지 않고 앱을 실행하게 허용함", "사인된 앱을 언사인할 수 있었고 그러면 로더가 이의 실행을 막을 수 있는 방법이 없음"

 

- 매버릭부터 커널 단의 모든 코드는 사인이 있어야 하지만, 또한 이를 체크하는 메커니즘에 결함이 있음. "체크 과정이 유저 모드에서 실행되는데 이는 공격자가 유저모드에 있을 수 있기 때문에 보안관점에서 엄청난 실패임", "공격자는 커널 익스텐션을 변형하거나 사인되지 않은 코드를 로딩할 수 있음"

- 전반적으로 OS X의 보안기제는 오늘날의 공격자들에게 그렇게 큰 도전이 아님. "맥이 완벽하게 안전하다면, 내가 여기서 이런 얘기를 하지도 않는다." "어떤 공격자나 맥의 보안 기제를 우회하는 건 식은 죽 먹기임"