Feb 9, 2020 Viewed: 415 Tag: 数聚梨推荐  

苹果弃用macOS内核扩展(KEXT)是安全性的巨大胜利

在去年的WWDC会议上,Apple宣布了计划弃用macOS的“ 内核扩展 ”(KEXT),并用一种称为“ 系统扩展 ” 的新机制来代替它们。

迈向此公告的第一步是在2019年9月发布macOS Catalina(10.15.0)时,系统扩展与内核扩展一起引入。

苹果计划的最后一步将在未来几周内生效,即将发布macOS Catalina 10.15.4。

根据Apple的说法,从macOS 10.15.4开始,使用内核扩展将触发通知用户该软件包含已弃用的API,并将要求用户与开发人员联系以寻求替代方案。

两者有什么区别?

内核扩展和系统扩展都达到相同的目的。它们允许用户安装扩展macOS操作系统本机功能的应用程序。

应用程序会安装内核/系统扩展,使它们能够执行macOS没有本机功能的操作。

Mac防病毒软件,防火墙,VPN客户端,DNS代理,USB驱动程序等都使用内核扩展。

这两个新扩展系统之间的区别在于,较旧的内核扩展在macOS内核级别执行其代码,而较新的系统扩展在更受严格控制的用户空间中运行。

安全的重大举措

Jamf首席安全研究员,著名的macOS安全专家Patrick Wardle 在本周的一次采访中告诉ZDNet:“从Apple的角度来看,这是迈向提高macOS安全性的重要一步。”

他补充说:“第三方内核扩展确实为针对macOS的攻击者提供了多汁的攻击媒介。” “特别是作为攻击者,如果您可以利用内核扩展,或加载自己的内核扩展(假定已签名)。”

而涉及的kext袭击发生在过去。

Wardle说:“对于macOS来说,这确实是一场比赛。” “内核中实现/实施了许多安全机制。”

Wardle说,这样的攻击不适用于系统扩展,因为它们以用户模式运行。

Wardle说:“由于它们不在内核中运行,因此漏洞利用不再像KEXT漏洞利用那样为您提供内核模式访问。”

“因此,苹果公司基本上是出于安全考虑,希望将所有人赶出内核。”

潜在的缺点

但是,沃德尔表示,此举也有不利之处。

首先,通过将应用开发人员逐出内核,Apple还获得了对macOS的更多控制权,类似于他们对iOS的控制权。

到目前为止,macOS一直是开发人员及其用户的天堂。如果macOS没有特定功能,则开发人员可以创建一个应用程序并利用内核扩展来添加所需的功能。

第二个缺点是,很多安全工具本身都高度依赖并且围绕提供给用户Mac的完全访问内核扩展构建。有人可能会辩称,苹果向系统扩展迈进的过程可能会终止毫无戒备的安全产品,这将使他们一路失去检测和阻止恶意软件的能力。

但是,沃德尔是许多免费的macOS安全工具的作者,他说苹果提供了“一些很棒的用户模式框架,这些框架提供了第三方安全工具所需的功能”,因此苹果似乎并没有这么做。从脚下剪下树枝

但是暂时,尚不清楚系统扩展是否会提供与内核扩展相同的通用性和编码自由度。这还有待观察-以及另一篇文章的主题-因为我们将需要更多时间让macOS开发人员缓慢地切换到系统扩展。

但是,Wardle指出,总体而言,此举对于macOS安全性而言是一个不错的选择,无论苹果采取此举的其他可能原因如何。





More blogs    
"苹果弃用macOS内核扩展(KEXT)是安全性的巨大胜利"的评论



Add a comment:




CONTACT
US