第三方安全工具不当部署程式码签章API，错放伪装成苹果官方程式的恶意程式

提供身份管理服务的Okta本周指出，macOS或OSX的第三方开发人员因不当部署苹果官方的程式码签章API，将造成相关的安全、鉴识或资安事件回应工具放行那些假冒成苹果程式的恶意程式。

程式码签章是在执行档中作记号，以用来验证该程式未经窜改，以及确实来自所宣称的供应商。Okta的安全工程师Josh Pitts解释，在Windows上得以加密签署所有部分，从.NET二元码到PowerShell脚本程式，但macOS上的程式码签章则是锁定Mach-O二元程式与应用程序套件，以确保于内存中只能执行可靠的程式码。

此一漏洞则是存在于Mach-O载入已签署程式码的方式，以及程式码签章APIs的不当操作，骇客可以借由恶意的Fat档案开采漏洞，以将恶意程式假冒为苹果官方程式，并逃过第三方安全程式的审查。

Fat是个可执行的Mac档案，它含有许多不同的Mach-O档案，每个Mach-O档案都是针对特定的CPU架构而设计，以让该程式能支援不同的CPU架构。

恶意的Fat档案必须符合3个条件才能开采该漏洞，包括首个Mach-O档案必须是由苹果所签署；其它非源自苹果的程式则必须是指定签署（adhoc signed）且是由i386替x86_64位元的macOS所编译；苹果程式Fat标头中的CPU_TYPE必须设为无效，或是非原生的CPU类型。

主要的问题出在于许多的第三方程式并没有妥善检查Fat档案中的每个元件，它们只验证了Fat档案中的第一个Mach-O档案，然后就决定信赖当中的所有元件。

受影响的第三方程式包括恶意程式扫描工具VirusTotal、Gogle旗下的程式签章检验工具molcodesignchecker、脸书的操作系统分析与效能监控工具OSQuery，与F-Secure替Mac所打造的免费安全工具xFence等。

Pitts说，他是在今年2月把相关的报告与概念性验证程式提交给苹果，但苹果却不认为这是个该由官方修补的安全问题，反而建议第三方开发人员应该使用kSecCSCheckAllArchitectures and kSecCSStrictValidate with SecStaticCodeCheckValidity API，还告诫外部开发人员得要更努力地验证通用二进制（Universal binary）中的所有身份都是一致的。