Svensken hittade säkerhetsbrist i Mac OS: ”Allvarligt av flera skäl”

2021-05-05 06:00  

Många tror att Mac har förskonats från virus och sårbarheter, men så är inte fallet. Den svenske programmeraren Rasmus Sten hittade nyligen ett fel som gjorde att han kunde kringgå operativsystemets försvar mot skadliga program.

Till vardags letar han inte efter sårbarheter, utan skriver kod till antivirusprogram för säkerhetsföretaget F-secure. I början av december arbetade Rasmus Sten med att testa den egna programvaran och hur den hanterade zipfiler, alltså ett filformat för komprimerade filer. 

– Jag laddade ned zipfiler om och om igen, samtidigt som jag tittade på loggarna från Mac OS. Då upptäckte jag mystiska felmeddelanden, där operativsystemet hanterade något fel, berättar Rasmus Sten. 

Han upptäckte att Mac OS ibland hoppade över ett steg för att försäkra sig om att filerna som laddades ned var säkra. Och för att förstå vad som hände behöver man förstå hur Apples operativsystem skyddar sig, genom fyra lager.

Läs mer: Så kan laddstolpar bli mål för it-attacker: ”Ryssland har en agenda”

Filen placeras i karantän

När en körbar fil laddas ned och dubbelklickas på aktiveras det första lagret säkerhet in: filen placeras i karantän medan användaren får en varning.  

Om användaren väljer att fortsätta kommer nästa steg, som kallas för Gatekeeper. Då kollar Apples system om mjukvaran är signerad av en godkänd utvecklare. Om den inte är det går det in att köra filen genom att dubbelklicka på den, utan bara genom att högerklicka. 

Det tredje steget är en notarisering, en snabb granskning där Apple gör en analys av programmet för att hitta fel eller skadlig kod.  

Slutligen söker Apples eget antivirusprogram Xprotect genom filen efter känt skadligt innehåll.

Läs mer: Protester mot genmodifierade myggorna som ska bekämpa virus

"Hade kunnat orsaka stor skada"

Det som Rasmus Sten hade upptäckt var att operativsystemet ibland hoppade över både det andra och det tredje steget. 

– Det såg då inte så allvarligt ut, men jag tänkte att jag skulle rapportera det till Apple ändå. Och när jag började dokumentera det och gick igenom alla siffror upptäckte jag att man kunde putsa på det och få fram en zipfil som ser nästan helt vanlig ut, och som kringgår säkerhetskontrollerna, berättar Rasmus Sten, och utvecklar var problemet låg: 

– När en zipfil packas upp till en rad andra filer måste Mac OS hålla reda på var alla kommer ifrån. Och den länken var svag, säger han. 

Vad hade sårbarheten kunnat användas till? 

– Det hade till exempel kunnat utnyttjas genom att en användare får ett mejl som ser ut att komma från Spotify med en länk till en ny version av programmet. När användaren laddar ner den ser det ut som Spotify, men däri finns skadlig programvara som tar sig in på datorn. Och eftersom skyddet inte fungerar som det ska hade det kunnat orsaka stor skada, säger Rasmus Sten.

Läs mer: Myndighetskrav på Ringhals: Uppdatera haverirutinerna

Problemet löstes i förra veckan

Om det sista lagret av skydd, antivirusprogrammet Xprotect, hade stoppat en skadlig fil som tagit sig in i systemet vet inte Rasmus Sten. Men oaktat det var det en allvarlig brist, enligt både honom och it-säkerhetsutbiladaren Karl Emil Nikka, som driver säkerhetsföretaget Nikka Systems. 

– Att hitta ett sätt som kan gå runt flera steg av Mac OS skydd är allvarligt av tekniska skäl. Men det är också allvarligt av psykologiska skäl: Många Macanvändare tror på myten att det inte finns några virus för Mac, och är därför villiga att ta större risker, säger Nikka. 

Rasmus Sten upptäckte alltså felet i början av december, men det var först i förra veckan som Apple löste problemet. Därför är det först nu han vill berätta om vad som hänt, men i och med att alla användare inte uppdaterat sina system direkt går han inte in på alla detaljer.

Läs mer: Sverige redo för digitalt vaccinpass – så fungerar tekniken

Uppdatera operativsystemet så fort det går

Det tog alltså nästan fem månader från det att Apple fick reda på problemet till det att en lösning fanns på plats. Den kom i samband med en större säkerhetsuppdatering, som brukar ske en eller två gånger per kvartal. Den senaste fixar över 60 sårbarheter. 

– Jag vet inte hur Apple har tänkt, de är väldigt tystlåtna. Eftersom vi inte har några indikationer på att det här användes kanske de inte skyndade på. Vi hade förstås velat se att det gick fortare men det kan vara så att Apple behövde gå djupt i systemet för att fixa det här, säger Rasmus Sten. 

På frågan om vad man som användare ska göra för att skydda sig mot den här typen av sårbarheter är de båda it-experterna överens. 

– Rådet är att alltid installera säkerhetsuppdateringar så fort de är tillgängliga. Dessutom ska man inte köra Mac OS-versioner som inte längre underhålls av Apple. I nuläget underhålls Mac OS 11, 10.15 och 10.14. Den fjärde äldsta versionen, 10.13, får inga uppdateringar längre. Använder man ett äldre operativsystem måste man vara medveten om att det inte är säkert, säger Karl Emil Nikka. 

– Man ska uppdatera operativsystemet hela tiden. Det blir lite trist, det är jobbigt att installera uppdateringarna, det tar lång tid, och det är något Apple jobbar på. Men det är värt det, säger Rasmus Sten.

Henning Eklund

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt