Миф о невероятной безопасности macOS
Я не знаю, откуда произошел этот миф, вероятно, из утверждения, что для macOS не нужны антивирусы, или из относительно небольшого количества новостей об уязвимостях в macOS. Что бы ни лежало в основе, это ложное утверждение, и в этом материале я приведу несколько фактов, которые должны разубедить сторонников мифа о неуязвимости macOS.
Давайте начнем с конференции Pwn2Own 2018. Pwn2Own – ежегодное соревнование белых хакеров, проводимое с 2007 года. В рамках соревнования хакеры со всего мира пытаются взломать операционные системы, браузеры, выйти за пределы виртуальной среды и многое другое. Как вы можете догадаться, задача взломать macOS являлась частью соревнования, и хакеры успешно справились с ней. В рамках конкурса две команды смогли провести успешную атаку на браузер Safari и операционную систему macOS.
Во второй день соревнований сотрудники Ret2 Systems продемонстрировали цепочку эксплойтов для Safari, проведя успешную атаку с 4-й попытки. Гораздо эффективнее оказалась команда исследователей из MWR Labs: сначала она осуществила «побег» из песочницы Safari, а затем, использовав уязвимость неинициализированной переменной стека в macOS, выполнила произвольный код. Напоминаю, что выполнение произвольного кода означает получение полного доступа к устройству. MWR Labs заработала в рамках соревнования $55 000.
Крупнейшие спецслужбы мира располагают гораздо более впечатляющими ресурсами и специалистами. Например, китайские хакеры всегда были на лидирующих позициях, на Pwn2Own 2017 китайская команда Qihoo360 успешно разобралась и с Safari, и с macOS, повысив привилегии до root. Однако весной 2018 года правительство КНР запретило своим IT-специалистам выступать на международных конференциях из соображений национальной безопасности.
Если ранее открытия и навыки китайских специалистов, выступающих на конференциях, шли на пользу общей безопасности, то теперь их талант и разработки будут использоваться в интересах национальной безопасности Китая. И если в интересах национальной безопасности Китай будет следить за вами, то знания китайских хакеров будут использованы против вас. С оригиналом информации о Pwn2Own 2018 вы можете ознакомиться тут.
Помимо данных с соревнований хакеров, я бы хотел познакомить вас с сайтом CVE Details, здесь публикуется информация об уязвимостях в продуктах и здесь можно посмотреть статистику, сколько уязвимостей найдено в браузере Safari и macOS за определенный промежуток времени.
Возьмем статистику по macOS за 2018 год. На момент написания статьи было обнаружено 107 уязвимостей, но не все уязвимости равно опасны. DoS – уязвимость, приводящая к отказу сервиса, это неприятно, но не более того, а вот Code Execution и Gain Privileges, исполнение кода и повышение привилегий,‒это очень опасные уязвимости, позволяющие злоумышленнику получить полный доступ к вашему Маку.
Некоторое время назад я опубликовал материал, где убедительно просил удалить все неиспользуемые программы, так как это увеличивает риски и уязвимость устройства. Возьмем приложение iTunes, которое многие владельцы iPhone не используют, но при этом и не удаляют. Вот статистика уязвимостей по нему:
Как видите, опасные уязвимости появляются ежегодно и будут появляться в будущем. Учтите, что в этот список попадают только известные уязвимости, как правило, они уже исправлены разработчиком и могут быть опасны, только если вы не обновляете свою систему, браузер или установленные приложения.
Уязвимости в арсенале спецслужб хранятся в тайне, они не исправляются в обновлениях и называются 0day уязвимостями. Для настройки комплексной безопасности очень важно расстаться с мифами и иллюзиями. Неуязвимость macOS – это миф, надеюсь, мне удалось его разрушить. Это не повод для паники, не повод замкнуться на убеждении из серии «захотят – взломают», просто вы должны понять: взломать macOS реально, и если вы представляете интерес для спецслужб, например вы политик, журналист или чиновник, вам стоит серьезно пересмотреть свою безопасность.
В то же время в рамках курса мы будем говорить о дополнительных мерах защиты, главной из которых является изоляция. Каждый новый уровень изоляции – большая проблема для хакеров: если из стандартной песочницы Safari они выбираются, так как заранее готовы к ней, то встретить дополнительный уровень изоляции будет неприятным и неожиданным сюрпризом. После того как хакер разберется с Safari, например после перехода жертвы по специальной ссылке, у него есть очень немного времени, чтобы постараться выполнить произвольный код в рамках системы.
Чаще этот процесс автоматизирован, и после выхода из песочницы Safari хакер, решив попробовать проэксплуатировать системную уязвимость, столкнется с ограничениями второго уровня изоляции, которые не учитывались при разработке атаки. В итоге попытка выполнения произвольного кода в системе, например установка ратника, будет провалена.