Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Malware / Gatekeeper, ¿un antivirus integrado para Mac OS X?

Gatekeeper, ¿un antivirus integrado para Mac OS X?

Por Deja un comentario

En los últimos días, se está hablando de Gatekeeper, una nueva funcionalidad de Mountain Lion a la que se le está considerando «antivirus para Mac«. ¿Lo es?

En la página oficial de Apple, se puede leer:
«Gatekeeper es una nueva funcionalidad en Mountain Lion que complementa las comprobaciones de malware que ya existen en OS X para proteger tu Mac de malware y aplicaciones maliciosas de Internet«
Esto no es del todo cierto. Vayamos por partes. En lo referente a «las comprobaciones que ya existen«, en concreto hablan de la cuarentena y de xProtect. La cuarentena es una simple alerta sobre los ficheros descargados de Internet. xProtect es un rudimentario sistema de detección por firmas de malware que se introdujo en septiembre de 2009. Se trata de un primer acercamiento a un antivirus integrado. Tan rudimentario que cuando apareció solo reconocía dos familias que solían atacar al sistema operativo de Apple y solo comprobaba ciertas descargas (las de Safari, iChat y Mail). Actualmente cuenta con algunas firmas más, que se pueden ver claramente (nombre del malware y el patrón de detección) en:
http://configuration.apple.com/configurations/macosx/xprotect/3/clientConfiguration.plist
El número 3 en la URL hace referencia a Mountain Lion. Si se modifica al 2, se ve el fichero de firmas de Lion y 1 es para Snow Leopard. Por cierto, no parece detectar ni se ve en esas listas al reciente OSX/Crisis que, aunque no haya conseguido un gran número de infecciones, sí ha gozado de mucha popularidad.
Sin embargo, aunque el proyecto xProtect sigue en marcha, parece enterrado y es muy complicado encontrar información en la página oficial de Apple. El comando
site:support.apple.com xprotect
en Google apenas ofrece ya información. Y en los resultados en los que aparece, la palabra en sí no puede encontrarse o se trata de usuarios particulares preguntando en foros de consulta. No suelen avisar tampoco de cuándo es actualizado. Se hace silenciosamente y sin anuncios.
¿Gatekeeper es o no es por fin un antivirus?
El movimiento de Apple es claro: el modelo de negocio de apps se va a extender de los móviles al escritorio muy pronto, y quiere controlar el terreno. Pero no. Gatekeeper se trata de un sistema que controla que las apps descargadas estén firmadas por un ID conocido. Una suerte de Authenticode de Microsoft.
Para desarrollar para Apple y publicar en el App Store, el programador debe conseguir (y pagar) un ID con el que firma sus programas. Una especie de certificado. Según Apple
«El ID del programador permite a Gatekeeper bloquear aplicaciones creadas por desarrolladores de malware y verificar que las apps no han sido modificadas desde que fueron firmadas. Si una app fuera desarrollada por un programador desconocido (o sin ID) o modificada con él, Gatekeeper puede bloquear la app y que no sea instalada«.

Las opciones de Gatekeeper son:
  • Solo abrir apps que vengan de la Store oficial.
        
  • Abrir las que vengan de la Store oficial y desarrolladores identificados.
         
  • Ejecutar cualquier app independientemente de donde venga (lo que significa deshabilitar Gatekeeper). Eso sí, las que no sean íntegras serán rechazadas.
En definitiva, un «comprobador de certificados«. Apple avisa de que efectivamente, se pueden comprobar los ID y la integridad de los ficheros… pero olvida que comprobar la integridad o la entidad del que firma, nunca dice absolutamente nada de las intenciones del programa firmado. Y si no, que se lo pregunten a Microsoft: TheFlame estaba firmado con un certificado legítimo de Microsoft.
Por tanto, Gatekeeper está lejos de ser un antimalware. Más bien es un controlador de la integridad, procedencia y autoría de las apps. Y teniendo en cuenta que un ID puede ser robado, tampoco garantiza nada. Es cierto que en un momento dado Gatekeeper podría detener una app maliciosa, pero no la detectaría por su comportamiento, sino por no poseer un ID válido o provenir de fuera de la Store oficial. Esos serían los «obstáculos» para el atacante. O, si el usuario solo descarga del Store oficial, tendría que colar el malware en el catálogo. Aunque si bien el Google Play está repleto de aplicaciones maliciosas (hasta el punto que Google ha vuelto a anunciar nuevas restricciones para publicar), Apple ha conseguido un control mucho más estricto y es cierto que, descargar desde su Store oficial, ofrece una importante garantía de «salubridad«.
Más información:
Malware logra eludir (de nuevo) el sistema Bouncer de Google Play
http://unaaldia.hispasec.com/2012/07/malware-logra-eludir-de-nuevo-el.html
About file quarantine in OS X
http://support.apple.com/kb/HT3662
Mountain Lion: About Gatekeeper
http://support.apple.com/kb/HT5290
Google targets spam apps, malware and clones in Play Store
http://www.wired.co.uk/news/archive/2012-08/02/google-play-rules
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.