Onderzoeker Josh Pitts van het securitybedrijf Okta heeft een manier ontdekt om het signeringssysteem van Apple te manipuleren. Daardoor lijkt het alsof code van Apple afkomstig is, terwijl het kwaadaardige code kan zijn die zich voordoet als betrouwbare code van Apple. Code kan gesigneerd worden door de ontwikkelaar, zodat gebruikers en applicaties kunnen controleren of de code ook daadwerkelijk door die ontwikkelaar gemaakt is. Door een lek kan dit code-signing mechanisme gemanipuleerd worden.
Probleem ligt niet bij Apple
Het probleem doet zich alleen voor op MacOS en oudere OS X-versies, maar bevindt zich niet in MacOS zelf. Het probleem zit hem in de manier waarop programma’s van derden omgaan met het code-signing mechanisme van Apple in combinatie met Fat/Universal-bestanden op de Mac. Een Fat/Universal-bestand kan verschillende uitvoerbare bestanden bevatten. Als het eerste bestand in een Fat/Universal-bestand van Apple is, beschouwen sommige applicaties de rest van het bestand ook alsof het van Apple afkomstig is. Dit is dus makkelijk te manipuleren.
Apple gewaarschuwd
Josh Pitts waarschuwde Apple voor het lek, maar die vonden dat het beveiligingsprobleem niet genoeg prioriteit had om er gelijk iets aan te doen. Daarop waarschuwde Pitts de derde partijen die kwetsbaar waren voor het lek. Dat waren bijvoorbeeld VirusTotal, Googles Santa, TaskExplorer en Yelp. Zij kwamen vervolgens zelf met oplossingen. Omdat mogelijk software van andere ontwikkelaars ook kwetsbaar is voor het lek besloot Pitts het probleem openbaar te maken.
