在Mac系统中,包含着另一套藏在 OS X 背后的操作系统:Recovery OS。本次演讲首先将会深入 Recovery OS 的技术细节,接着介绍其中的安全威胁:在虚拟机环境中,这套操作系统的完整性并没有受到保护。尽管在最新的原生环境中,苹果已经加入针对这套系统完整性的验证,但这不妨碍我们可以介绍并演示攻击者如何可以攻击虚拟的 OS X 系统,并使其恶意软件可以在完全的 OS X 恢复下存活。虽然这仅限于虚拟环境下,但恶意软件仍可利用该方式安装自身到被 SIP 保护的位置,并使得移除这类恶意软件变得更难。当然攻击者还可以利用这种方式来攻击旧版版的原生 OS X 系统。
更有趣的是,本次演讲将会指出,Recovery OS 在进行 OS X 还原处理的过程是同 OS X 升级过程的逻辑是同样的。苹果并没有完全验证操作系统升级和安装过程的完整性,这使得本地的攻击者或恶意程序可以直接注入代码到操作系统升级和安装器程序中,使得恶意代码可以直接控制并传播到被升级的操作系统中。更关键的事,这提供了一个新的方法来绕过 SIP 安全机制:我们将会介绍如何利用该技术做到这点。
本次演讲中我们还会介绍一些在 OS X 上不常见的注入和感染方式,以及一些 OS X 安全增强的技巧。