Malafide Mac-apps konden zich jarenlang voordoen als betrouwbare software

Door een probleem in macOS was het jarenlang mogelijk malafide apps te installeren, die de indruk wekten dat ze gesigneerd waren door Apple. De nep-certificaten werden niet herkend door beveiligingstools. Het probleem speelt al elf jaar maar is nu pas ontdekt.
Benjamin Kuijten -

Methode houdt malafide code in apps verborgen

Dankzij gesigneerde certificaten kun je controleren of apps veilig zijn. Deze certificaten zijn ondertekend door Apple, zodat je weet dat de app gemaakt is door een betrouwbare partij. Deze certificaten zorgen er ook voor dat beveiligingstools apps als veilig herkennen en dat Apple’s GateKeeper niet moeilijk doet. Maar door een probleem dat al bijna elf jaar blijkt te bestaan, konden malafide apps toch voor beveiligingsprogramma’s verborgen blijven. Dergelijke malware leek gesigneerd te zijn door Apple, maar dat was niet het geval.


Onderzoekers hebben nu ontdekt dat de methodes die beveiligingstools hanteren te omzeilen zijn. Hierdoor wordt een dergelijke app als veilig beschouwd, omdat deze een door Apple gesigneerd certificaat lijkt te hebben. Volgens de onderzoekers is het kinderlijk eenvoudig om de methode te gebruiken en kan nagenoeg elke hacker er misbruik van maken.

Certificaat gesigneerd door Apple.

Joshua Pitts, een engineer van beveiligingsbedrijf Okta, ontdekte de techniek al in februari, maar komt er nu pas mee naar buiten nadat hij Apple eerst op de hoogte wilde stellen. De methode blijkt al sinds OS X Leopard in 2007 te gebruiken, waardoor in theorie dus veel malafide apps toegang konden krijgen. Ontwikkelaar Patrick Wardle legt uit dat het probleem niet ontstaat door een kwetsbaarheid of een bug op de Mac, maar dat het komt door slechte documentatie van Apple’s kant over hoe de controle van certificaten werkt. Apple heeft de documentatie inmiddels bijgewerkt. Makers van beveiligingstools zoals VirusTotal, Google Santa en The Little Snitch Firewall moeten hun programma’s nog aanpassen.

Meer over de technische werking van dit probleem lees je bij ArsTechnica.

Loop ik nu ook gevaar?
Of jij als gebruiker ook gevaar loopt, hangt af van de apps die je geïnstalleerd hebt. Als je alleen apps uit de Mac App Store downloadt, dan weet je zeker dat je betrouwbare apps op je Mac hebt staan. Zorg er ook altijd voor dat je alleen apps downloadt van betrouwbare partijen en verwijder eventueel apps die je niet vertrouwt. Apple gebruikt een functie genaamd Gatekeeper die controleert of apps veilig zijn. Via de instellingen van je Mac kun je kiezen of je alleen apps uit de Mac App Store toestaat of ook van betrouwbare partijen.

Bekijk ook

Gatekeeper macOS

Met Gatekeeper houd je ongewenste software buiten op de Mac

Als je Gatekeeper gebruikt, bepaalt deze functie welke apps je kunt installeren op de Mac. In deze tip lees je over Gatekeeper instellingen en welke opties je het beste kunt kiezen om veilig apps te installeren.

Reacties: 5 reacties

  1. Is er inmiddels een lijst van apps welke deze kwetsbaarheid misbruiken?

  2. Origineel geplaatst door Ibl
    Is er inmiddels een lijst van apps welke deze kwetsbaarheid misbruiken?

    Ja, er valt niet echt bepaald te controleren of ik malafide apps heb geïnstalleerd op dit moment. Ik download regelmatig buiten de app store om. Het zeer grote merendeel komt van developers die ik ‘ken’, c.q. vertrouw, maar voor die paar andere zou ik graag willen controleren..

  3. Origineel geplaatst door Ibl
    Is er inmiddels een lijst van apps welke deze kwetsbaarheid misbruiken?

    Nee, er is wel een lijst van beveiligingstools ermee om de tuin geleid kunnen worden (zoals Little Flocker en Google Santa), zoals we ook in het artikel noemen. Maar we hebben nog niet een lijst kunnen vinden van malafide apps die er misbruik van maken. Hier is meer te vinden, maar de maker legt daarin vooral uit hoe hij zelf de beveiliging kon omzeilen met een proof of concept, niet met een vrij beschikbare app.

  4. (Red.) Deze reactie is door een moderator verwijderd omdat deze niet aan onze reactierichtlijnen voldoet. Antwoorden op deze reactie zijn mogelijk ook verwijderd.

  5. Sinds een tijdje werkt/verbindt de wallpaper app Kuvva niet meer. Mn browser zegt dat de site onveilig is. En in de app store is de app verdwenen. Misschien is dit dus een malafide Mac app voorbeeld..? Wel benieuwd welke data ze dan hebben kunnen bemachtigen..