Falha de autenticação no macOS abre as portas para instalação de malware

Uma falha de segurança do Gatekeeper, um sistema presente no macOS para verificação de arquivos baixados, está abrindo as portas para instalação de malware nos computadores da Apple. Descoberta pelo pesquisador Filippo Cavallarin, a falha permite que pacotes via download passem diretamente pelo sistema de checagem da plataforma, sem que sejam analisados em busca de comportamento suspeito.

A tecnologia Gatekeeper funciona como uma espécie de filtro para dados baixados. Todos passam pelo crivo do antivírus XProtect, da própria Apple, em busca de componentes maliciosos. Entretanto, elementos que venham a partir de um drive local não estão sujeitos a essa avaliação. É nessa diferenciação que a exploração se baseia, fazendo com que o sistema acredite que um download, na verdade, veio a partir da montagem automática de HDs externos ou outros tipos de armazenamento externo.

Com essa passagem direta, digamos assim, as portas ficam abertas para todo tipo de exploração. Em uma prova de conceito, Cavallarin exibe como um malware seria capaz de tomar controle total do macOS, permitindo, por exemplo, a instalação de mineradores de criptomoedas, roubo de dados confidenciais dos usuários ou a utilização do sistema para outras atividades.

A falha pode soar complexa, mas se proteger dela é simples. De acordo com o especialista, o melhor caminho é recusar o download de arquivos desconhecidos ou que sejam ativados de forma automática, baixando dados apenas de fontes confiáveis. Além disso, quem quiser ficar totalmente tranquilo quanto a tudo isso pode desativar o automount do sistema, mas isso implica em conectar e desconectar manualmente os drives externos a cada vez que eles forem ligados à máquina.

Cavallarin também disse ter informado a Apple sobre o assunto em fevereiro, logo após a descoberta, mas não recebeu resposta. Sendo assim, passado o período usual de três meses sem que a empresa tomasse providencias, o especialista em segurança da informação fez a revelação pública da falha, também incluindo o código da exploração no banco de dados do VirusTotal, para que ela possa ser rastreada em caso de utilização maliciosa.

Por enquanto, a Maçã não se pronunciou sobre o assunto e não existem indícios de que a brecha tenha sido usada por terceiros. Entretanto, agora que ela é pública, isso pode ser apenas uma questão de tempo, principalmente caso a Apple não realize as atualizações necessárias para lidar com o problema.

Fonte: Filipo Cavallarin