macOS Sandbox
Podstawowe informacje
Piaskownica macOS (początkowo nazywana Seatbelt) ogranicza działanie aplikacji uruchomionych wewnątrz piaskownicy do dozwolonych działań określonych w profilu piaskownicy, z którym aplikacja jest uruchamiana. Pomaga to zapewnić, że aplikacja będzie miała dostęp tylko do oczekiwanych zasobów.
Każda aplikacja z uprawnieniem com.apple.security.app-sandbox
będzie uruchamiana wewnątrz piaskownicy. Binaria Apple zazwyczaj są uruchamiane wewnątrz piaskownicy i w celu publikacji w App Store, to uprawnienie jest obowiązkowe. Większość aplikacji będzie uruchamiana wewnątrz piaskownicy.
Aby kontrolować, co proces może lub nie może robić, Piaskownica ma hooki we wszystkich wywołaniach systemowych w jądrze. W zależności od uprawnień aplikacji, Piaskownica pozwoli na określone działania.
Niektóre ważne komponenty Piaskownicy to:
Rozszerzenie jądra
/System/Library/Extensions/Sandbox.kext
Prywatny framework
/System/Library/PrivateFrameworks/AppSandbox.framework
Demon działający w przestrzeni użytkownika
/usr/libexec/sandboxd
Kontenery
~/Library/Containers
Wewnątrz folderu kontenerów można znaleźć folder dla każdej aplikacji uruchomionej w piaskownicy o nazwie identyfikatora pakietu:
Wewnątrz każdego folderu identyfikatora pakietu można znaleźć plik plist oraz katalog Data aplikacji:
Należy pamiętać, że nawet jeśli są dostępne symlinki, które pozwalają "uciec" z piaskownicy i uzyskać dostęp do innych folderów, aplikacja nadal musi mieć uprawnienia do ich odczytu. Te uprawnienia znajdują się w pliku .plist
.
Wszystko, co zostało utworzone/zmodyfikowane przez aplikację w piaskownicy, otrzyma atrybut kwarantanny. Spowoduje to zapobieżenie uruchomieniu przestrzeni piaskownicy przez Gatekeeper, jeśli aplikacja w piaskownicy spróbuje wykonać coś za pomocą open
.
Profile piaskownicy
Profile piaskownicy to pliki konfiguracyjne, które wskazują, co jest dozwolone/zabronione w tej piaskownicy. Wykorzystuje on język profilu piaskownicy (SBPL), który używa języka programowania Scheme.
Tutaj znajdziesz przykład:
Sprawdź tę badanie aby sprawdzić więcej akcji, które mogą być dozwolone lub zabronione.
Ważne usługi systemowe również działają w swoim własnym niestandardowym sandboxie, takim jak usługa mdnsresponder
. Możesz zobaczyć te niestandardowe profile sandboxa w:
/usr/share/sandbox
/System/Library/Sandbox/Profiles
Inne profile sandboxa można sprawdzić na stronie https://github.com/s7ephen/OSX-Sandbox--Seatbelt--Profiles.
Aplikacje z App Store używają profilu /System/Library/Sandbox/Profiles/application.sb
. Możesz sprawdzić w tym profilu, jak uprawnienia takie jak com.apple.security.network.server
pozwalają procesowi korzystać z sieci.
SIP to profil sandboxa o nazwie platform_profile w /System/Library/Sandbox/rootless.conf
Przykłady profilu sandboxa
Aby uruchomić aplikację z konkretnym profilem sandboxa, możesz użyć:
Ten plik to przykład pliku konfiguracyjnego dla mechanizmu piaskownicy w systemie macOS. Piaskownica to mechanizm bezpieczeństwa, który izoluje aplikacje od reszty systemu, ograniczając ich dostęp do zasobów i funkcji systemowych. Plik konfiguracyjny definiuje zasady, które określają, jakie uprawnienia ma dana aplikacja w piaskownicy.
W tym konkretnym przykładzie, plik touch2.sb definiuje zasady dla aplikacji touch2. Aplikacja ta ma dostęp tylko do swojego własnego katalogu domowego i nie może korzystać z żadnych innych zasobów systemowych.
Należy zauważyć, że oprogramowanie autorstwa Apple, które działa na systemie Windows, nie posiada dodatkowych środków bezpieczeństwa, takich jak izolacja aplikacji.
Przykłady bypassowania:
https://desi-jarvis.medium.com/office365-macos-sandbox-escape-fcce4fa4123c (są w stanie zapisywać pliki poza piaskownicą, których nazwa zaczyna się od
~$
).
Profile piaskownicy MacOS
macOS przechowuje profile piaskownicy systemowej w dwóch lokalizacjach: /usr/share/sandbox/ i /System/Library/Sandbox/Profiles.
Jeśli aplikacja innej firmy posiada uprawnienie com.apple.security.app-sandbox, system stosuje profil /System/Library/Sandbox/Profiles/application.sb do tego procesu.
Profil piaskownicy iOS
Domyślny profil nosi nazwę container i nie posiadamy reprezentacji tekstowej SBPL. W pamięci ta piaskownica jest reprezentowana jako drzewo binarne Zezwalaj/Odmawiaj dla każdego uprawnienia z piaskownicy.
Debugowanie i bypassowanie piaskownicy
Na macOS, w przeciwieństwie do iOS, gdzie procesy są od początku izolowane przez jądro, procesy muszą samodzielnie zdecydować o dołączeniu do piaskownicy. Oznacza to, że na macOS proces nie jest ograniczony przez piaskownicę, dopóki sam nie zdecyduje się do niej dołączyć.
Procesy są automatycznie izolowane w piaskownicy z przestrzeni użytkownika podczas uruchamiania, jeśli posiadają uprawnienie: com.apple.security.app-sandbox
. Szczegółowe wyjaśnienie tego procesu można znaleźć pod adresem:
Sprawdzanie uprawnień PID
Zgodnie z tym, sandbox_check
(jest to __mac_syscall
) może sprawdzić, czy operacja jest dozwolona czy nie przez piaskownicę w określonym PID.
Narzędzie sbtool może sprawdzić, czy PID może wykonać określoną czynność:
Niestandardowe profile SBPL w aplikacjach App Store
Firmy mają możliwość uruchamiania swoich aplikacji z niestandardowymi profilami Sandbox (zamiast domyślnego). Muszą użyć uprawnienia com.apple.security.temporary-exception.sbpl
, które musi zostać autoryzowane przez Apple.
Można sprawdzić definicję tego uprawnienia w pliku /System/Library/Sandbox/Profiles/application.sb:
To ocenić ciąg znaków po tym uprawnieniu, jako profil Sandbox, wykonaj następujące czynności.
Last updated