利用第三方应用的各类代码注入技术窃取钥匙串

在macOS上存储密钥是一个巨大的挑战,可以通过多种不安全的方式来完成。我在漏洞赏金评估期间测试了许多Mac应用程序,并观察到开发人员倾向于将密钥放在偏好甚至隐藏的平面文件中。这种方法的问题在于,以标准权限运行的所有非沙盒应用程序都可以访问密钥数据。平面文件(Flat-File),Flat File是一种包含没有相对关系结构的记录的文件。这个类型通常用来描述文字处理、其他结构字符或标记被移除了的文本。

在使用上,有一些模糊点,如像换行标记是否可以包含于“Flat File(flat file)”中。在任何事件中,许多用户把保存成“纯文本(text only)”类型的Microsoft Word文档叫做“Flat File(flat file)”。最终文件包含记录(一定长度的文本的行数)但没有信息,例如,用多长的行来定义标题或者一个程序用多大的长度来用一个内容表对该文档进行格式化。

例如,macOS上的Signal在〜/ Library / Application Support / Signal / config.json中存储了用于加密所有消息数据库的密钥。

macOS钥匙串

根据苹果的说法,钥匙串是存储例如密码和加密密钥这样的小秘钥的最好地方,钥匙串是一种非常强大的机制,允许开发人员定义访问控制列表(ACL)来限制对条目的访问。应用程序可以通过密钥组权限进行签名,以便访问其他应用程序之间共享的秘钥。以下Objective-C代码将在钥匙串中保存密钥值:

并且在执行后,你应该看到条目已成功被添加:

第一种窃取技术

第一种技术是验证应用程序是否已使用“Hardened Runtime”或“Library Validation”标志进行了签名,钥匙串不能检测到代码注入。因此,只需使用以下命令:

如果标记为0x0,并且没有__RESTRICT Mach-O段(这个段非常罕见),则只需将恶意的dylib注入到应用程序的主要可执行文件中。创建具有以下内容的exploit.m文件:

编译:

并注入:

第二种窃取技术

如果可执行文件已使用Hardened Runtime签名怎么办?这个绕过技术类似于我在XPC开发系列中向你展示的内容。抓取已分析的二进制文件的旧版本,该版本在没有强化运行时的情况下签名,并将dylib注入其中。钥匙串不会验证二进制文件的版本,而是会给你展示秘钥。

针对开发人员的建议修复程序,创建“钥匙串访问组”并将秘钥移到那里。由于二进制文件的旧版本无法使用该钥匙串组权限进行签名,因此无法获得该秘钥,详情请点此

第三种窃取技术

切记如果设置了“Hardened Runtime”,则com.apple.security.cs.disable-library-validation将允许你注入恶意动态库。

第四种窃取技术

正如Jeff Johnson在他的文章中所证明的那样,TCC只是从表面上检查应用程序的代码签名。钥匙串中也存在相同的问题,即使整个捆绑包的签名无效,钥匙串也只会验证主要的可执行文件是否未被篡改。让我们以设备上安装的Electron应用程序(Microsoft Teams,Signal,Visual Studio Code,Slack,Discord等)之一为例,事实证明Electron应用程序无法安全地存储你的秘钥。Electron是一个创建原生应用程序的框架,基于Node.js和Chromium实现了通过JavaScript, HTML 和 CSS 等 Web 技术构建跨平台应用程序的能力。

其中,Electron还封装了一些功能,包括自动更新、原生的菜单和通知、崩溃报告、调试和性能分析等。

即使你使用Hardened Runtime签署了Electron,恶意应用程序也可能会更改包含实际代码的JavaScript文件。让我们看一下Github Desktop.app,它将用户的会话秘钥存储在钥匙串中:

并已有效签名:

接下来,更改一个JS文件并验证签名:

可以看到签名被破坏了,但是Github会正常启动并加载保存在钥匙串中的密钥:

为了防止修改,Electron实现了一种称为asar-integrity的机制。它计算一个SHA512哈希值并将其存储在Info.plist文件中,问题在于它不会停止注射。如果主要的可执行文件尚未使用Hardened Runtime或Kill标志签名,并且不包含受限制的权限,则只需修改asar文件,计算新的校验和并更新Info.plist文件即可。如果设置了这些标志或权限,则始终可以使用ELECTRON_RUN_AS_NODE变量,并再次在主要的可执行上下文中执行代码。因此,它可以窃取钥匙串条目。

总结

钥匙串中的安全密钥存储确实很难实现,因为对请求的可执行文件的代码签名检查只是一些表面的功夫,因此有多种方法可以绕过访问控制机制。

最大的问题是在Electron应用程序中,这些应用程序无法将密钥安全地存储在钥匙串中。切记,任何将实际代码存储在主要的可执行文件之外的框架都可能被诱骗加载恶意代码。

本文翻译自:https://wojciechregula.blog/post/stealing-macos-apps-keychain-entries/

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/121568.html<

(0)
管理的头像管理
上一篇2025-02-21 22:47
下一篇 2025-02-21 22:49

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注