Apple que desprecia las extensiones de kernel de macOS (KEXT) es una gran victoria para la seguridad


macOS Macbook Apple

Imagen: Bundo Kim

En la conferencia WWDC del año pasado, Apple anunció planes para desaprobar macOS «extensiones de kernel«(KEXTs) y reemplácelos con un nuevo mecanismo llamado»extensiones del sistema«.

El primer paso hacia este anuncio se realizó con el lanzamiento de macOS Catalina (10.15.) en septiembre de 2019, cuando se introdujeron las extensiones del sistema junto con las extensiones del kernel.

El último paso del plan de Apple entrará en vigencia en las próximas semanas, con el próximo lanzamiento de macOS Catalina 10.15.4.

De acuerdo con Apple, comenzando con macOS 10.15.4, el uso de extensiones de kernel activará una notificación al usuario de que el software incluye una API obsoleta y le pedirá al usuario que se comunique con el desarrollador para obtener alternativas.

¿Cuál es la diferencia entre los dos?

Tanto las extensiones del kernel como las extensiones del sistema tienen el mismo propósito. Permiten a los usuarios instalar aplicaciones que amplían las capacidades nativas del sistema operativo macOS.

Las aplicaciones instalan extensiones del sistema / kernel que les permiten realizar operaciones para las cuales macOS no tiene características o funciones nativas.

El application antivirus Mac, los firewalls, los clientes VPN, los proxies DNS, los controladores USB y otros, hacen uso de las extensiones del kernel.

La diferencia entre estos dos nuevos sistemas de extensión es que las extensiones de kernel más antiguas ejecutan su código en el nivel de kernel de macOS, mientras que las extensiones de sistema más nuevas se ejecutan en un espacio de usuario más estrictamente controlado.

Gran movimiento por seguridad

«Desde el punto de vista de Apple, este es un paso importante hacia la mejora de la seguridad de macOS», dijo Patrick Wardle, investigador principal de seguridad de Jamf, y un conocido experto en seguridad de macOS. ZDNet en una entrevista esta semana.

«Las extensiones de kernel de terceros representan un jugoso vector de ataque para los atacantes que apuntan a macOS», agregó. «Especialmente si usted, como atacante, puede explotar una extensión del núcleo o cargar la suya propia (suponiendo que esté firmada)».

Y los ataques que involucran KEXT han sucedido en el pasado (1, 2, 3)

«Realmente se acabó el juego para macOS», dijo Wardle. «Muchos mecanismos de seguridad se implementan / aplican en el núcleo».

Wardle dice que un ataque como este no funcionaría con las extensiones del sistema, ya que se ejecutan en modo de usuario.

«Como no se ejecutan en el kernel, un exploit ya no le da acceso al modo kernel como lo hizo con un exploit KEXT», dijo Wardle.

«Entonces, Apple básicamente quiere echar a todos (del núcleo), principalmente por razones de seguridad».

Posibles inconvenientes

Sin embargo, Wardle dice que también hay un inconveniente en este movimiento.

La primera es que al eliminar los desarrolladores de aplicaciones del núcleo, Apple también obtiene mucho más handle sobre macOS, very similar al handle que tienen sobre iOS.

Hasta ahora, macOS ha sido un paraíso para los desarrolladores y sus usuarios. Si macOS no tenía una función específica, los desarrolladores podrían simplemente crear una aplicación y aprovechar una extensión del kernel para agregar las funciones que necesitaban.

El segundo inconveniente es que muchas herramientas de seguridad en sí mismas se han basado en gran medida y se han construido en torno a las extensiones de kernel de acceso completo que proporcionan a la Mac de un usuario. Se podría argumentar que el movimiento de Apple hacia las extensiones del sistema podría terminar con la neutralización de los productos de seguridad, lo que perderá parte de su capacidad para detectar y detener el malware en el camino.

Sin embargo, Wardle, quien es el autor de muchas herramientas de seguridad macOS gratuitas, dice que Apple ha proporcionado «algunos excelentes marcos de modo de usuario que brindan a las herramientas de seguridad de terceros las capacidades que necesitan», por lo que parece que Apple todavía no ha cortado la rama bajo sus pies.

Pero por el momento, no está claro si las extensiones del sistema proporcionarían la misma versatilidad y libertad de codificación que las extensiones del núcleo. Esto aún está por verse, y es un tema para otro artículo, ya que necesitaremos más tiempo para que los desarrolladores de macOS hagan el cambio lentamente a las extensiones del sistema en el futuro.

Sin embargo, Wardle señala que el movimiento es bueno para la seguridad de macOS, en general, independientemente de otras posibles razones para el movimiento de Apple.



Enlace a la noticia primary