В прошлом году Apple представила функциональность под названием App Management, задача которой — препятствовать модификации одного приложения со стороны другого в macOS. Сейчас разработчики жалуются, что фича работают не так, как хотелось бы.
Ранее не мероприятии 2022 Worldwide Developers Conference представители Apple описывали App Management («Управление приложениями») следующим образом:
«Если условное приложение видоизменяется чем-то, что не подписано той же командой разработчиков или не разрешено NSUpdateSecurityPolicy, система macOS заблокирует такую активность, а также уведомит пользователя о несанкционированном вмешательстве».
Конфигурацию этой функциональности можно найти в настройках macOS (пункт «Конфиденциальность и безопасность»). Несмотря на вполне понятный и обнадеживающий анонс, ряд разработчиков считают, что фича не обеспечивает должного уровня безопасности приложений.
Например, Джефф Джонсон из Underpass App Company как-то заявлял, что приложения из песочницы могут обойти App Management.
«Помещенное в песочницу приложение может модифицировать файл, который должен находиться под защитой App Management», — писал Джонсон.
На днях специалист опубликовал в блоге новую запись, согласно которой ему удалось изменить файл настроек браузера Firefox (update-settings.ini) с помощью родного приложения macOS — TextEdit. App Management, по словам Джонсона, пропустил эту активность.
«TextEdit помещен в песочницу, и довольно забавно, что изначально она должна защищать от атак, но в этом случае как раз открывает возможность для атаки», — объясняет исследователь.
«В целом это баг, уязвимость: получается, что софт из песочницы может модифицировать файлы, которые должны быть защищены функциональностью macOS».
Джонсон разработал демонстрационный эксплойт (ZIP), который состоит из приложения вне песочницы, встроенного в помещенную в песочницу программу. Эксперт уточнил, что тестировал PoC в macOS 13.5.1.
Источник: anti-malware