Un proceso de seguridad macOS de Apple llamado System Integrity Protection puede evitar que se desinstalen fácilmente ciertas aplicaciones, lo que no es ideal cuando el código puede ser vulnerable o dañino.
System Integrity Protection, o SIP, tiene claros beneficios para la seguridad de macOS. Introducido en OS X El Capitan (10.11) en 2015, aplicó una nueva política de seguridad a cada proceso que se ejecuta en el sistema.
SIP intenta asegurarse de que los archivos binarios del sistema solo puedan ser modificados por el mecanismo de actualización de software de Apple o por el instalador de la aplicación si el código es un paquete firmado por Apple. También intenta evitar los archivos adjuntos de tiempo de ejecución y la inyección de código.
Además de errores anteriores, SIP, también conocido como & quot; rootless & quot; debido al texto de atributo utilizado para designar la protección SIP, generalmente ha mejorado la seguridad de macOS.
Debido a que la aplicación de aplicaciones de sandboxing y las pautas de aplicaciones ya previenen ese comportamiento para las aplicaciones distribuidas a través de la MacOS App Store, el impacto principal de SIP ha sido que los desarrolladores de terceros distribuyan sus aplicaciones fuera de la supervisión de Apple.
La distribución de aplicaciones sin permiso no es posible en iOS sin jailbreaking; pero en macOS, los desarrolladores aún pueden distribuir código sin la bendición de Apple, aunque la firma de aplicaciones con una identidad de desarrollador válida ayuda.
La aplicación macOS BlueStacks, que permite que las aplicaciones de Android se ejecuten en sistemas Apple, es un ejemplo de una aplicación que necesita operar fuera del control de Apple porque instala una extensión de kernel (KEXT) para aumentar las capacidades del kernel de macOS.
Y gracias a SIP, el KEXT de la aplicación resiste la desinstalación.
Howard Oakley, un ex escritor de MacUser, analizó el problema en una publicación de blog el martes, describiendo SIP en macOS High Sierra como “roto”
Eso puede ser una exageración. En un correo electrónico a The Register, Patrick Wardle, investigador jefe de seguridad Synack, un negocio de seguridad informática, dijo: “No creo que sea un problema de seguridad per se; más bien solo una molestia.
High Sierra, explica Oakley, proporciona un nuevo mecanismo de autorización para extensiones de kernel de terceros, que Apple llama Carga de extensión de kernel aprobada por el usuario. Bloquea la instalación de extensiones de kernel de terceros y requiere una concesión explícita de permisos a través de Security & amp; Panel de control de privacidad
Una vez que el usuario autoriza el KEXT, Oakley dice que High Sierra lo envuelve en una aplicación de código auxiliar no ejecutable que se instala en / Library / StagedExtensions / Applications, donde obtiene protección del SIP mediante la adición de un atributo extendido (xattr), com .apple.rootless.
¿Por qué está “roto”? En pocas palabras, el modelo de seguridad de Apple permite la instalación de software pero su eliminación, al menos sin pasar por algunos chequeos.
La eliminación es posible si reinicia en el modo de Recuperación, que desactiva SIP en el volumen en cuestión y permite eliminar la aplicación de talón persistente. Pero no es fácil.
La preocupación de Oakley es que los usuarios pueden ser engañados para autorizar la instalación de código malicioso, lo que permite que se oculte detrás de la protección SIP, lo que haría que el malware sea difícil de desalojar.
Es digno de preocupación, aunque un usuario descuidado es posiblemente más peligroso que un mecanismo de seguridad incómodo.
Lo que puede ser más preocupante es ver cómo coquetea macOS con un modelo de seguridad bloqueado como iOS, donde la respuesta al comando del usuario es, “Lo siento, Dave. Me temo que no puedo hacer eso”.
