Verificación de conexión de proceso XPC en macOS

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
Descubre The PEASS Family, nuestra colección exclusiva de NFTs
Consigue el swag oficial de PEASS y HackTricks
Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.
Comparte tus trucos de hacking enviando PR al repositorio de hacktricks y al repositorio de hacktricks-cloud.

Verificación de conexión de proceso XPC

Cuando se establece una conexión a un servicio XPC, el servidor verificará si la conexión está permitida. Estas son las comprobaciones que suele realizar:

Comprobar si el proceso de conexión está firmado con un certificado firmado por Apple (sólo otorgado por Apple).
- Si esto no está verificado, un atacante podría crear un certificado falso para coincidir con cualquier otra comprobación.
Comprobar si el proceso de conexión está firmado con el certificado de la organización (verificación de ID de equipo).
- Si esto no está verificado, cualquier certificado de desarrollador de Apple puede ser utilizado para firmar y conectarse al servicio.
Comprobar si el proceso de conexión contiene un ID de paquete adecuado.
Comprobar si el proceso de conexión tiene un número de versión de software adecuado.
- Si esto no está verificado, se podría utilizar un cliente antiguo e inseguro, vulnerable a la inyección de procesos, para conectarse al servicio XPC incluso con las otras comprobaciones en su lugar.
Comprobar si el proceso de conexión tiene un derecho que le permite conectarse al servicio. Esto es aplicable para binarios de Apple.
La verificación debe estar basada en el token de auditoría del cliente de conexión en lugar de su ID de proceso (PID) ya que lo primero previene los ataques de reutilización de PID.
- Los desarrolladores rara vez utilizan la llamada a la API de token de auditoría ya que es privada, por lo que Apple podría cambiarla en cualquier momento. Además, el uso de API privadas no está permitido en las aplicaciones de la Mac App Store.

Para obtener más información sobre la comprobación de ataques de reutilización de PID:

{% content-ref url="macos-pid-reuse.md" %} macos-pid-reuse.md {% endcontent-ref %}

Ejemplos de código

El servidor implementará esta verificación en una función llamada shouldAcceptNewConnection.

- (BOOL)listener:(NSXPCListener *)listener shouldAcceptNewConnection:(NSXPCConnection *)newConnection {
    //Check connection
    return YES;
}

{% endcode %}

El objeto NSXPCConnection tiene una propiedad privada llamada auditToken (la que debería ser utilizada pero podría cambiar) y una propiedad pública llamada processIdentifier (la que no debería ser utilizada).

El proceso de conexión podría ser verificado con algo como:

{% code overflow="wrap" %}

[...]
SecRequirementRef requirementRef = NULL;
NSString requirementString = @"anchor apple generic and identifier \"xyz.hacktricks.service\" and certificate leaf [subject.CN] = \"TEAMID\" and info [CFBundleShortVersionString] >= \"1.0\"";
/* Check:
- Signed by a cert signed by Apple
- Check the bundle ID
- Check the TEAMID of the signing cert
- Check the version used
*/

// Check the requirements
SecRequirementCreateWithString(requirementString, kSecCSDefaultFlags, &requirementRef);
SecCodeCheckValidity(code, kSecCSDefaultFlags, requirementRef);

Si un desarrollador no quiere comprobar la versión del cliente, al menos podría comprobar que el cliente no es vulnerable a la inyección de procesos: