Mac OS X bude zase o trochu méně bezpečný. Bezpečnostní specialista přišel na novou cestu jak napadnou kód přímo v paměti stroje s Mac OS X, způsobem který velmi ztíží vyšetřovatelům detekci útoku pomocí současných forenzních praktik.
Příští měsíc na Black Hat bezpečnostní konferenci ve Washingtonu má Vincenyo Iozzo představit kompletní popis jak neviditelně napadnout Mac způsobem, který dosud nebyl možný. Napadení paměti dovoluje neautorizovanému software být instalován na Macovi bez stop útočícího kódu nebo dalších znaků, které by mohly označit stroj jako kompromitovaný.
Podobné techniky již několik let existují pro Windows a Linux, ale teprve nyní se objevil spolehlivý způsob jak zahladit stopy při útoku na Maca. Je tedy jen otázkou času, než vývojáři mallware budou tuto metodu využívat. Alespoň to tvrdí Charles Miller, který Iozzovu práci prohlížel. Miller dále tvrdí, že proces pokračuje pro rozšíření techniky pro instalaci neautorizovaných aplikací na iPhone.
Na rozdíl od současných typů útoků, Iozzova umožňuje spouštět binární kód kompletně v OS X aplikaci nebo procesu na který bylo zaútočeno. To znamená, že operační systém nepotřebuje otevřít nový proces a kód se nepotřebuje dotknout pevného disku infikovaného stroje. Tyto aktivity obvykle ponechávají nápovědu systémovým administrátorům, pomocí kterého lze vysledovat napadení počítače.
Iozzo přišel na tuto metodu pozorným sledování spustitelného souborového formátu Mac "Mach-O". Přesným napodobením způsobu, jakým OS X ukládá spustitelný kód v paměti, našel způsob jak obejít tradiční způsoby nahrávání binárního kódu do operačního systému.
Iozzo tvrdí, že náhodné rozložení adresního prostoru v OS X, které je určeno aby zabránilo těmto útokům tím, že náhodně umísťuje spustitelný kód, může být překonán lokálním uživatelem. Je to proto, že programy OS X ví, kde je umístěn dynamic linker, ten zase hackerům pomůže predikovat umístění dalších knihoven potřebných pro fungování této techniky.
Sby to bylo jasné, útočník využívající tuto techniku musí nejdříve znát spolehlivý způsob pro napadení neošetřeného operačního sytému nebo jiné aplikace. Tato metoda nezjednodušuje napadení operačního systému, pouze umožňuje hackerům lépe maskovat stopy v systému, když už se tam jednou dostali.
Technika není 100 procentní, vyšetřovatel může napadení zjistit výpisem virtuální paměti nebo detekovat útok použitím NIDS či dalšími systémy pro detekci útočníka.
