• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Gatekeeper, ¿un antivirus integrado para Mac OS X?

Gatekeeper, ¿un antivirus integrado para Mac OS X?

3 agosto, 2012 Por Hispasec Deja un comentario

En los últimos días, se está hablando de Gatekeeper, una nueva funcionalidad de Mountain Lion a la que se le está considerando «antivirus para Mac«. ¿Lo es?

En la página oficial de Apple, se puede leer:
«Gatekeeper es una nueva funcionalidad en Mountain Lion que complementa las comprobaciones de malware que ya existen en OS X para proteger tu Mac de malware y aplicaciones maliciosas de Internet«
Esto no es del todo cierto. Vayamos por partes. En lo referente a «las comprobaciones que ya existen«, en concreto hablan de la cuarentena y de xProtect. La cuarentena es una simple alerta sobre los ficheros descargados de Internet. xProtect es un rudimentario sistema de detección por firmas de malware que se introdujo en septiembre de 2009. Se trata de un primer acercamiento a un antivirus integrado. Tan rudimentario que cuando apareció solo reconocía dos familias que solían atacar al sistema operativo de Apple y solo comprobaba ciertas descargas (las de Safari, iChat y Mail). Actualmente cuenta con algunas firmas más, que se pueden ver claramente (nombre del malware y el patrón de detección) en:
http://configuration.apple.com/configurations/macosx/xprotect/3/clientConfiguration.plist
El número 3 en la URL hace referencia a Mountain Lion. Si se modifica al 2, se ve el fichero de firmas de Lion y 1 es para Snow Leopard. Por cierto, no parece detectar ni se ve en esas listas al reciente OSX/Crisis que, aunque no haya conseguido un gran número de infecciones, sí ha gozado de mucha popularidad.
Sin embargo, aunque el proyecto xProtect sigue en marcha, parece enterrado y es muy complicado encontrar información en la página oficial de Apple. El comando
site:support.apple.com xprotect
en Google apenas ofrece ya información. Y en los resultados en los que aparece, la palabra en sí no puede encontrarse o se trata de usuarios particulares preguntando en foros de consulta. No suelen avisar tampoco de cuándo es actualizado. Se hace silenciosamente y sin anuncios.
¿Gatekeeper es o no es por fin un antivirus?
El movimiento de Apple es claro: el modelo de negocio de apps se va a extender de los móviles al escritorio muy pronto, y quiere controlar el terreno. Pero no. Gatekeeper se trata de un sistema que controla que las apps descargadas estén firmadas por un ID conocido. Una suerte de Authenticode de Microsoft.
Para desarrollar para Apple y publicar en el App Store, el programador debe conseguir (y pagar) un ID con el que firma sus programas. Una especie de certificado. Según Apple
«El ID del programador permite a Gatekeeper bloquear aplicaciones creadas por desarrolladores de malware y verificar que las apps no han sido modificadas desde que fueron firmadas. Si una app fuera desarrollada por un programador desconocido (o sin ID) o modificada con él, Gatekeeper puede bloquear la app y que no sea instalada«.

Las opciones de Gatekeeper son:
  • Solo abrir apps que vengan de la Store oficial.
        
  • Abrir las que vengan de la Store oficial y desarrolladores identificados.
         
  • Ejecutar cualquier app independientemente de donde venga (lo que significa deshabilitar Gatekeeper). Eso sí, las que no sean íntegras serán rechazadas.
En definitiva, un «comprobador de certificados«. Apple avisa de que efectivamente, se pueden comprobar los ID y la integridad de los ficheros… pero olvida que comprobar la integridad o la entidad del que firma, nunca dice absolutamente nada de las intenciones del programa firmado. Y si no, que se lo pregunten a Microsoft: TheFlame estaba firmado con un certificado legítimo de Microsoft.
Por tanto, Gatekeeper está lejos de ser un antimalware. Más bien es un controlador de la integridad, procedencia y autoría de las apps. Y teniendo en cuenta que un ID puede ser robado, tampoco garantiza nada. Es cierto que en un momento dado Gatekeeper podría detener una app maliciosa, pero no la detectaría por su comportamiento, sino por no poseer un ID válido o provenir de fuera de la Store oficial. Esos serían los «obstáculos» para el atacante. O, si el usuario solo descarga del Store oficial, tendría que colar el malware en el catálogo. Aunque si bien el Google Play está repleto de aplicaciones maliciosas (hasta el punto que Google ha vuelto a anunciar nuevas restricciones para publicar), Apple ha conseguido un control mucho más estricto y es cierto que, descargar desde su Store oficial, ofrece una importante garantía de «salubridad«.
Más información:
Malware logra eludir (de nuevo) el sistema Bouncer de Google Play
http://unaaldia.hispasec.com/2012/07/malware-logra-eludir-de-nuevo-el.html
About file quarantine in OS X
http://support.apple.com/kb/HT3662
Mountain Lion: About Gatekeeper
http://support.apple.com/kb/HT5290
Google targets spam apps, malware and clones in Play Store
http://www.wired.co.uk/news/archive/2012-08/02/google-play-rules
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Técnica permite modificar ficheros PDF con firma digital
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR