Привратник (macOS) - Gatekeeper (macOS)

Не путать со сторонним расширением Gatekeeper для «классическая» Mac OS.

Привратник
Gatekeeper logo.png
Разработчики)Apple Inc.
изначальный выпуск25 июля 2012 г. (2012-07-25)
Операционная системаmacOS

Привратник это функция безопасности macOS Операционная система к яблоко.[1][2] Он заставляет подпись кода и проверяет загруженные приложения перед их запуском, тем самым снижая вероятность непреднамеренного запуска вредоносное ПО. Привратник опирается на Файловый карантин, который был введен в Mac OS X Leopard и расширился в Mac OS X Снежный барс.[3][4] Эта функция появилась в версии 10.7.3 из Mac OS X Lion как утилита командной строки spctl.[5][6] А графический интерфейс пользователя был добавлен в OS X Mountain Lion а позже также в версии 10.7.5 Lion.[7]

Функции

Конфигурация

Снимок экрана приложения «Системные настройки» OS X Yosemite, на котором три опции гейткипера показаны в виде переключателей.
Параметры привратника в Системные настройки заявление. С macOS Sierra, опция «Где угодно» по умолчанию скрыта.

На панели безопасности и конфиденциальности Системные настройки, у пользователя есть три варианта:

Магазин приложений Mac
Разрешает только приложения, загруженные с Магазин приложений Mac быть запущенным.
Mac App Store и определенные разработчики
Позволяет загружать приложения из Mac App Store и приложения, подписанные сертифицированные разработчики Apple быть запущенным. Это настройка по умолчанию, начиная с Mountain Lion.
Куда угодно
Разрешает запуск всех приложений. Это эффективно отключает привратник. Это настройка по умолчанию в Lion. С macOS Sierra, эта опция по умолчанию скрыта.[8][9]
Однако эту опцию можно снова включить, используя команду sudo spctl --master-disable из Терминала и аутентифицируясь с паролем администратора.

Утилита командной строки spctl предоставляет детальные элементы управления, такие как настраиваемые правила и индивидуальные или общие разрешения, а также возможность выключить привратник.[6]

Карантин

При загрузке приложения конкретный расширенный атрибут файла («флаг карантина») можно добавить к загруженному файлу.[10] Этот атрибут добавляется приложением, которое загружает файл, например веб-браузер или же почтовый клиент, но обычно не добавляется BitTorrent клиентское программное обеспечение, такое как Передача инфекции, и разработчики приложений должны будут реализовать эту функцию в своих приложениях, а не в системе. Система также может принудительно использовать это поведение для отдельных приложений, используя систему на основе сигнатур под названием Xprotect.[11]

Исполнение

Скриншот системного предупреждения, информирующего пользователя о том, что приложение не может быть открыто, поскольку оно не было подписано зарегистрированным разработчиком.
Скриншот системы тревога Это появляется, когда Gatekeeper предотвращает запуск приложения, поскольку оно не было подписано сертифицированным разработчиком Apple.

Когда пользователь пытается открыть приложение с таким атрибутом, система откладывает выполнение и проверяет, является ли оно:

  • в черный список
  • код подписан Apple или сертифицированным разработчиком,
  • подписанное кодом содержимое по-прежнему соответствует подписи.

С Mac OS X Snow Leopard, система ведет два черных списка для выявления известных вредоносных программ или небезопасного программного обеспечения. Черные списки периодически обновляются. Если приложение находится в черном списке, то File Quarantine откажется его открывать и порекомендует пользователю переместить его в мусор.[11][12]

Гейткипер откажется открыть приложение, если не будут выполнены требования к подписи кода. Apple может отозвать сертификат разработчика, которым было подписано приложение, и предотвратить дальнейшее распространение.[1][3]

После того, как приложение прошло карантин файлов или привратника, ему будет разрешено работать в обычном режиме и больше не будет проверяться.[1][3]

Переопределить

Чтобы переопределить Gatekeeper, пользователь (действующий как администратор) должен либо переключиться на более мягкую политику на панели безопасности и конфиденциальности Системных настроек, либо разрешить ручное переопределение для конкретного приложения, либо открыв приложение из контекстное меню или добавив его с помощью spctl.[1]

Рандомизация пути

Разработчики могут подписывать образы дисков который может быть проверен системой как единое целое. В macOS Sierra это позволяет разработчикам гарантировать целостность всех связанных файлов и предотвращать заражение злоумышленниками и последующее их распространение. Кроме того, выполняется «рандомизация пути». пакеты приложений из случайного скрытого пути и предотвращает доступ к внешним файлам относительно их местоположения. Эта функция отключена, если пакет приложения создан из подписанного установочный пакет или образ диска, или если пользователь вручную переместил приложение без каких-либо других файлов в другой каталог.[8]

Подразумеваемое

Признаны эффективность и целесообразность Gatekeeper в борьбе с вредоносными программами,[3] но были встречены с оговорками. Исследователь безопасности Крис Миллер отметил, что Gatekeeper будет проверять сертификат разработчика и обращаться к списку известных вредоносных программ только при первом открытии приложения. Вредоносное ПО, которое уже прошло Gatekeeper, не будет остановлено.[13] Кроме того, Gatekeeper будет проверять только те приложения, для которых установлен флаг карантина. Поскольку этот флаг добавляется другими приложениями, а не системой, любое игнорирование или невыполнение этого требования не запускает Gatekeeper. По словам блоггера по безопасности Томаса Рида, BitTorrent клиенты частые нарушители этого. Флаг также не добавляется, если приложение получено из другого источника, например сетевые ресурсы и USB-накопители.[10][13] Также были подняты вопросы о процессе регистрации для получения сертификата разработчика и о перспективе кражи сертификата.[14]

В сентябре 2015 года исследователь безопасности Патрик Уордл написал об еще одном недостатке, который касается приложений, которые распространяются с внешними файлами, таких как библиотеки или даже HTML файлы, которые могут содержать JavaScript.[8] Злоумышленник может манипулировать этими файлами и через них использовать уязвимость в подписанном заявлении. Затем приложение и его внешние файлы можно распространять, оставляя при этом исходную подпись самого пакета приложений нетронутой. Поскольку Gatekeeper не проверяет такие отдельные файлы, безопасность может быть нарушена.[15] Благодаря рандомизации пути и подписанным образам дисков Apple предоставила механизмы для устранения этой проблемы в macOS Sierra.[8]

Смотрите также

Рекомендации

  1. ^ а б c d «OS X: о привратнике». яблоко. 13 февраля 2015 г.. Получено 18 июня, 2015.
  2. ^ Зиглер, MG (16 февраля 2012 г.). «Сюрприз! OS X Mountain Lion рвется к существованию (для разработчиков сегодня, для всех этим летом)». TechCrunch. AOL Inc. Получено 3 марта, 2012.
  3. ^ а б c d Сиракуза, Джон (25 июля 2012 г.). «OS X 10.8 Mountain Lion: обзор Ars Technica». Ars Technica. С. 14–15. В архиве с оригинала 14 марта 2016 г.. Получено 17 июня, 2016.
  4. ^ Рид, Томас (25 апреля 2014 г.). «Руководство по вредоносному ПО для Mac: как меня защищает Mac OS X?». Безопасный Mac. Получено 6 октября, 2016.
  5. ^ Ульрих, Йоханнес (22 февраля 2012 г.). «Как протестировать Gatekeeper OS X Mountain Lion в Lion». Internet Storm Center. Получено 27 июля, 2012.
  6. ^ а б "spctl (8)". Библиотека разработчика Mac. яблоко. Получено 27 июля, 2012.
  7. ^ «Об обновлении OS X Lion v10.7.5». яблоко. 13 февраля 2015 г.. Получено 18 июня, 2015.
  8. ^ а б c d «Что нового в безопасности». Разработчик Apple (Видео). 15 июня 2016г. В 21:45. Получено 17 июня, 2016.
  9. ^ Каннингем, Эндрю (15 июня 2016 г.). «Некоторые неприятные изменения в macOS и iOS 10: съемка в формате RAW, более жесткий привратник и многое другое». Ars Technica UK. В архиве из оригинала 16 июня 2016 г.. Получено 17 июня, 2016.
  10. ^ а б Рид, Томас (6 октября 2015 г.). «Обход привратника Apple». Лаборатория Malwarebytes. Получено 17 июня, 2016.
  11. ^ а б Морен, Дэн (26 августа 2009 г.). «Внутри скрытой защиты от вредоносных программ Snow Leopard». Macworld. Получено 30 сентября, 2016.
  12. ^ "О" Вы уверены, что хотите его открыть? " предупреждение (карантин файлов / обнаружение известных вредоносных программ) в OS X ". Служба поддержки Apple. 22 марта 2016 г. В архиве из оригинала 17 июня 2016 г.. Получено 30 сентября, 2016.
  13. ^ а б Форсман, Крис (17 февраля 2012 г.). «Разработчики Mac: Привратник вызывает беспокойство, но все же дает возможность опытным пользователям». Ars Technica. Получено 18 июня, 2015.
  14. ^ Чаттерджи, Суроджит (21 февраля 2012 г.). «OS X Mountain Lion Gatekeeper: действительно ли она защищает от вредоносных программ?». International Business Times. Получено 3 марта, 2012.
  15. ^ Гудин, Дэн. "Drop-dead simple exploit полностью обходит привратник вредоносных программ Mac". Ars Technica. В архиве с оригинала 20 марта 2016 г.. Получено 17 июня, 2016.