macOS Gatekeeper / Quarantine / XProtect
Gatekeeper
Gatekeeper é um recurso de segurança desenvolvido para sistemas operacionais Mac, projetado para garantir que os usuários executem apenas software confiável em seus sistemas. Ele funciona validando o software que um usuário baixa e tenta abrir de fontes fora da App Store, como um aplicativo, um plug-in ou um pacote de instalação.
O mecanismo-chave do Gatekeeper reside em seu processo de verificação. Ele verifica se o software baixado está assinado por um desenvolvedor reconhecido, garantindo a autenticidade do software. Além disso, ele verifica se o software foi notarizado pela Apple, confirmando que está livre de conteúdo malicioso conhecido e não foi adulterado após a notarização.
Além disso, o Gatekeeper reforça o controle e a segurança do usuário ao solicitar que os usuários aprovem a abertura do software baixado pela primeira vez. Essa proteção ajuda a evitar que os usuários executem inadvertidamente código executável potencialmente prejudicial que possam ter confundido com um arquivo de dados inofensivo.
Assinaturas de Aplicativos
As assinaturas de aplicativos, também conhecidas como assinaturas de código, são um componente crítico da infraestrutura de segurança da Apple. Elas são usadas para verificar a identidade do autor do software (o desenvolvedor) e garantir que o código não tenha sido adulterado desde a última assinatura.
Veja como funciona:
Assinando o Aplicativo: Quando um desenvolvedor está pronto para distribuir seu aplicativo, ele o assina usando uma chave privada. Essa chave privada está associada a um certificado que a Apple emite para o desenvolvedor quando ele se inscreve no Programa de Desenvolvedor da Apple. O processo de assinatura envolve a criação de um hash criptográfico de todas as partes do aplicativo e a criptografia desse hash com a chave privada do desenvolvedor.
Distribuindo o Aplicativo: O aplicativo assinado é então distribuído aos usuários juntamente com o certificado do desenvolvedor, que contém a chave pública correspondente.
Verificando o Aplicativo: Quando um usuário baixa e tenta executar o aplicativo, seu sistema operacional Mac usa a chave pública do certificado do desenvolvedor para descriptografar o hash. Em seguida, recalcula o hash com base no estado atual do aplicativo e compara isso com o hash descriptografado. Se coincidirem, significa que o aplicativo não foi modificado desde que o desenvolvedor o assinou, e o sistema permite a execução do aplicativo.
As assinaturas de aplicativos são uma parte essencial da tecnologia Gatekeeper da Apple. Quando um usuário tenta abrir um aplicativo baixado da internet, o Gatekeeper verifica a assinatura do aplicativo. Se estiver assinado com um certificado emitido pela Apple para um desenvolvedor conhecido e o código não foi adulterado, o Gatekeeper permite a execução do aplicativo. Caso contrário, bloqueia o aplicativo e alerta o usuário.
A partir do macOS Catalina, o Gatekeeper também verifica se o aplicativo foi notarizado pela Apple, adicionando uma camada extra de segurança. O processo de notarização verifica o aplicativo em busca de problemas de segurança conhecidos e código malicioso, e se essas verificações forem aprovadas, a Apple adiciona um ticket ao aplicativo que o Gatekeeper pode verificar.
Verificar Assinaturas
Ao verificar algum exemplo de malware, você sempre deve verificar a assinatura do binário, pois o desenvolvedor que o assinou pode estar relacionado a malware.
Notarização
O processo de notarização da Apple serve como uma salvaguarda adicional para proteger os usuários de software potencialmente prejudicial. Envolve o desenvolvedor submeter sua aplicação para exame pelo Serviço de Notarização da Apple, que não deve ser confundido com a Revisão de Aplicativos. Este serviço é um sistema automatizado que examina o software enviado em busca de conteúdo malicioso e possíveis problemas com a assinatura de código.
Se o software passar por essa inspeção sem levantar preocupações, o Serviço de Notarização gera um ticket de notarização. O desenvolvedor é então obrigado a anexar este ticket ao seu software, um processo conhecido como 'grampeamento'. Além disso, o ticket de notarização também é publicado online onde o Gatekeeper, a tecnologia de segurança da Apple, pode acessá-lo.
Na primeira instalação ou execução do software pelo usuário, a existência do ticket de notarização - seja grampeado ao executável ou encontrado online - informa ao Gatekeeper que o software foi notarizado pela Apple. Como resultado, o Gatekeeper exibe uma mensagem descritiva no diálogo de lançamento inicial, indicando que o software passou por verificações de conteúdo malicioso pela Apple. Esse processo, portanto, aumenta a confiança do usuário na segurança do software que eles instalam ou executam em seus sistemas.
Enumerando o Gatekeeper
O Gatekeeper é tanto vários componentes de segurança que impedem a execução de aplicativos não confiáveis quanto um dos componentes.
É possível ver o status do Gatekeeper com:
Note que as verificações de assinatura do GateKeeper são realizadas apenas em arquivos com o atributo de Quarentena, e não em todos os arquivos.
O GateKeeper verificará se, de acordo com as preferências e a assinatura, um binário pode ser executado:
O banco de dados que mantém essa configuração está localizado em /var/db/SystemPolicy
. Você pode verificar este banco de dados como root com:
Observe como a primeira regra terminou em "App Store" e a segunda em "Developer ID" e que na imagem anterior estava habilitado para executar aplicativos da App Store e desenvolvedores identificados. Se você modificar essa configuração para App Store, as regras de "Developer ID Notarizado" desaparecerão.
Também existem milhares de regras do tipo GKE:
Estes são hashes que vêm de /var/db/SystemPolicyConfiguration/gke.bundle/Contents/Resources/gke.auth
, /var/db/gke.bundle/Contents/Resources/gk.db
e /var/db/gkopaque.bundle/Contents/Resources/gkopaque.db
Ou você poderia listar as informações anteriores com:
As opções --master-disable
e --global-disable
do spctl
irão desativar completamente essas verificações de assinatura:
Quando totalmente habilitado, uma nova opção aparecerá:
É possível verificar se um aplicativo será permitido pelo GateKeeper com:
É possível adicionar novas regras no GateKeeper para permitir a execução de determinados aplicativos com:
Arquivos em Quarentena
Após baixar um aplicativo ou arquivo, aplicativos específicos do macOS como navegadores da web ou clientes de e-mail anexam um atributo de arquivo estendido, comumente conhecido como "sinal de quarentena," ao arquivo baixado. Este atributo atua como uma medida de segurança para marcar o arquivo como proveniente de uma fonte não confiável (a internet) e potencialmente portador de riscos. No entanto, nem todos os aplicativos anexam esse atributo, por exemplo, softwares comuns de cliente BitTorrent geralmente ignoram esse processo.
A presença de um sinal de quarentena sinaliza o recurso de segurança Gatekeeper do macOS quando um usuário tenta executar o arquivo.
No caso em que o sinal de quarentena não está presente (como nos arquivos baixados por alguns clientes BitTorrent), as verificações do Gatekeeper podem não ser realizadas. Portanto, os usuários devem ter cautela ao abrir arquivos baixados de fontes menos seguras ou desconhecidas.
Verificar a validade das assinaturas de código é um processo intensivo em recursos que inclui a geração de hashes criptográficos do código e de todos os recursos agrupados. Além disso, verificar a validade do certificado envolve fazer uma verificação online nos servidores da Apple para ver se ele foi revogado após ter sido emitido. Por esses motivos, uma verificação completa de assinatura de código e notarização é impraticável de ser executada toda vez que um aplicativo é lançado.
Portanto, essas verificações são executadas apenas ao executar aplicativos com o atributo de quarentena.
Este atributo deve ser definido pelo aplicativo que cria/baixa o arquivo.
No entanto, arquivos que estão isolados terão esse atributo definido para todos os arquivos que eles criam. E aplicativos não isolados podem defini-lo eles mesmos, ou especificar a chave LSFileQuarantineEnabled no Info.plist que fará o sistema definir o atributo estendido com.apple.quarantine
nos arquivos criados,
Além disso, todos os arquivos criados por um processo que chama qtn_proc_apply_to_self
são colocados em quarentena. Ou a API qtn_file_apply_to_path
adiciona o atributo de quarentena a um caminho de arquivo especificado.
É possível verificar seu status e ativar/desativar (é necessário acesso de root) com:
Você também pode verificar se um arquivo possui o atributo de quarentena estendida com:
Verifique o valor dos atributos estendidos e descubra o aplicativo que escreveu o atributo de quarentena com:
Na verdade, um processo "poderia definir flags de quarentena para os arquivos que cria" (tentei aplicar a flag USER_APPROVED em um arquivo criado, mas não a aplicou):
Last updated