Gatekeeper es el guardián contra aplicaciones malintencionadas y malware que entra a escondidas a dispositivos de Apple. También es el objetivo favorito de investigadores y atacantes avanzados que están desesperados por ganar control de los dispositivos Apple.

En Virus Bulletin, en Praga, el investigador Patrick Wardle, director de investigación en Synack, demostró un bypass Gatekeeper (evasión) que ha estado preparando durante algún tiempo. Wardle comentó al sitio de noticias Threatpost que ya compartió sus hallazgos con Apple, quienes al parecer están trabajando en la mitigación a corto plazo hasta que un parche completo pueda ser enviado a los usuarios.

El problema es que el bypass de Wardle podría requerir modificaciones en la arquitectura del sistema operativo para cubrir completamente la falla de diseño que está siendo explotada.

Gatekeeper realiza un número de revisiones en las aplicaciones antes de permitir que una de ellas se ejecute en un equipo Apple. Por ejemplo, no permitirá que el código se ejecute si no está firmado por un certificado de un desarrollador Apple o si no es descargado desde la App Store. Pero lo que Gatekeeper falla en hacer, dijo Wardle, es verificar si la aplicación se ejecuta y si carga otras aplicaciones o bibliotecas dinámicas desde el mismo directorio o uno relativo.

Gatekeeper funciona solamente en la revisión estática para determinar si la aplicación es segura y se comporta como corresponde. Wardle mencionó que un atacante podría engañar al usuario para que descargue una aplicación firmada e infectada por terceras personas, o, si está en una situación Man-in-the-middle, por ejemplo, podría cargar una biblioteca maliciosa dentro del directorio a través de una descarga HTTP insegura y obtener acceso inicial al equipo.

En el caso de su prueba de concepto, Wardle encontró binarios de Apple firmados para fabricar su ataque. En el ejercicio, podría tomar la forma de un archivo DMG (Apple Disk Image File) que puede ser descargado al engañar al usuario. El usuario se presenta como un ícono de aplicación tradicional que busca el ejecutable malicioso en el mismo archivo DMG y lo ejecuta.