Viime vuoden WWDC-konferenssissa Apple ilmoitti suunnitelmista poistaa macOS:n “ydinlaajennukset” (KEXTit) ja korvata ne uudella mekanismilla nimeltä “järjestelmälaajennukset”.

Ensimmäinen askel kohti tätä ilmoitusta otettiin syyskuussa 2019 julkaistun macOS Catalinan (10.15.0) myötä, jolloin järjestelmälaajennukset otettiin käyttöön ydinlaajennusten rinnalle.

Applen suunnitelman viimeinen askel astuu voimaan lähiviikkoina, kun macOS Catalina 10.15.4 julkaistaan lähiaikoina.

Applen mukaan alkaen macOS 10.15.4 alkaen kernel-laajennusten käyttö laukaisee käyttäjälle ilmoituksen siitä, että ohjelmisto sisältää vanhentuneen API:n ja pyytää käyttäjää ottamaan yhteyttä kehittäjään vaihtoehtojen saamiseksi.

Mitä eroa näillä kahdella on?

Kumpikin kernel-laajennus ja järjestelmälaajennus palvelevat samaa tarkoitusta. Niiden avulla käyttäjät voivat asentaa sovelluksia, jotka laajentavat macOS-käyttöjärjestelmän natiiviominaisuuksia.

Sovellukset asentavat kernel-/järjestelmälaajennuksia, joiden avulla ne voivat suorittaa toimintoja, joihin macOS:llä ei ole natiiviominaisuuksia tai -toimintoja.

Mac-virustorjuntaohjelmat, palomuurit, VPN-asiakkaat, DNS-välityspalvelimet, USB-ajurit ja muut käyttävät kernel-laajennuksia.

Ero näiden kahden uuden laajennusjärjestelmän välillä on se, että vanhemmat kernel-laajennukset suorittavat koodinsa macOS:n kernel-tasolla, kun taas uudemmat systeemilaajennukset ajetaan tiukemmin kontrolloidussa käyttäjäavaruudessa.

Suuri siirto tietoturvan kannalta

“Applen näkökulmasta tämä on merkittävä askel macOS:n tietoturvan parantamiseksi”, Jamfin johtava tietoturvatutkija ja tunnettu macOS-tietoturva-asiantuntija Patrick Wardle kertoi ZDNetin haastattelussa tällä viikolla.

“Kolmannen osapuolen kernel-laajennukset muodostavat mehukkaan hyökkäysvektorin macOS:iin kohdistuville hyökkääjille”, hän lisää. “Varsinkin jos hyökkääjänä voi hyödyntää kernel-laajennusta tai ladata oman (olettaen, että se on allekirjoitettu).”

Ja hyökkäyksiä, joissa on ollut mukana KEXT:iä, on tapahtunut aiemminkin.

“Se on oikeastaan pelin loppu macOS:lle”, Wardle sanoi. “Monet monet turvamekanismit on toteutettu/vahvistettu ytimessä.”

Wardle sanoo, että tämänkaltainen hyökkäys ei toimisi järjestelmälaajennusten kanssa, koska ne toimivat käyttäjätilassa.

“Koska ne eivät toimi ytimessä, hyväksikäyttö ei anna enää pääsyä ytimen tilaan, kuten se teki KEXT-hyökkäyksellä”, Wardle sanoi.

“Joten Apple haluaa periaatteessa potkia kaikki ulos , pitkälti turvallisuussyistä.”

Mahdolliset huonot puolet

Wardlen mukaan tässä siirrossa on kuitenkin myös huonoja puolia.

Ensimmäinen on se, että potkimalla sovelluskehittäjät ulos kernelistä, Apple saa myös paljon enemmän kontrollia macOS:ään, samaan tapaan kuin heillä on kontrollia iOS:iin.

Tähän asti macOS on ollut kehittäjien ja sen käyttäjien turvapaikka. Jos macOS:ssä ei ollut tiettyä ominaisuutta, kehittäjät saattoivat vain luoda sovelluksen ja hyödyntää kernel-laajennusta lisätäkseen tarvitsemansa ominaisuudet.

Toinen haittapuoli on se, että monet tietoturvatyökalut itsessään ovat tukeutuneet vahvasti kernel-laajennusten tarjoamaan täyteen pääsyyn käyttäjän Mac-tietokoneeseen, ja ne on rakennettu sen ympärille. Voidaan väittää, että Applen siirtyminen kohti järjestelmälaajennuksia saattaa johtaa siihen, että tietoturvatuotteet menettävät osan kyvystään havaita ja pysäyttää haittaohjelmia.

Wardle, joka on monien ilmaisten macOS:n tietoturvatyökalujen kirjoittaja, sanoo kuitenkin, että Apple on tarjonnut “joitakin loistavia käyttäjätilan kehyksiä, jotka tarjoavat kolmannen osapuolen tietoturvatyökaluille niiden tarvitsemat valmiudet”, joten vaikuttaa siltä, että Apple ei ole katkaisemassa oksaa jalkojensa alta, ihan vielä.

Mutta toistaiseksi on epäselvää, antaisivatko järjestelmälaajennukset samanlaista monipuolisuutta ja koodauksen vapautta kuin kernel-laajennukset. Tämä jää nähtäväksi – ja toisen artikkelin aiheeksi – sillä tarvitsemme lisää aikaa, jotta macOS-kehittäjät siirtyvät hitaasti järjestelmälaajennuksiin jatkossa.

Wardle kuitenkin huomauttaa, että siirto on kokonaisuudessaan hyvä macOS:n tietoturvan kannalta, riippumatta muista mahdollisista syistä Applen siirtoon.