| 31 авг 2020 — 7:52 PT
Хотя устройства Apple, как правило, более безопасны, чем у конкурентов, это не означает, что они не подвержены уязвимостям. В случае с Mac новый отчет показывает, как Apple случайно одобрила одну из самых распространенных угроз вредоносного ПО для работы на последних версиях macOS. Хотя первоначальный сбой был быстро устранен, появился другой аналогичный.
iOS более закрыта и, естественно, более безопасна, чем Mac в целом, поскольку все приложения должны загружаться через App Store. Напротив, пользователи Mac могут загружать приложения как из App Store, так и из любого места в Интернете.
Даже если приложения для Mac, загруженные вне App Store, не проходят тот же процесс проверки, Apple по-прежнему требует их нотаризации (с прошлого года), что подвергает программное обеспечение проверке безопасности на наличие вредоносного кода. После одобрения функция Gatekeeper macOS получает зеленый свет, сигнализируя о безопасности приложения.
По данным TechCrunch, исследователи безопасности Питер Дантини и Патрик Уордл обнаружили, что Apple случайно нотаризовала популярное вредоносное ПО, скрывающееся в обновлении Flash Player. Примечательно, что вредоносное ПО «Shlayer» было признано Kaspersky наиболее вероятной угрозой для Mac в 2019 году.
Уордл подтвердил, что Apple одобрила код, используемый популярным вредоносным ПО Shlayer, которое, по словам фирмы безопасности Kaspersky, является «самой распространенной угрозой», с которой сталкивались Mac в 2019 году. Shlayer — это разновидность рекламного ПО, которое перехватывает зашифрованный веб-трафик, даже с сайтов с HTTPS, и заменяет веб-сайты и результаты поиска своей рекламой, получая мошенническую рекламную прибыль для операторов.
Уордл считает, что это первый случай, когда вредоносное ПО такого рода было по ошибке одобрено Apple в процессе нотаризации, и это затрагивает последние версии macOS, даже бета-версию Big Sur.
Уордл сказал, что это означает, что Apple не обнаружила вредоносный код при его отправке и одобрила его для запуска на Mac, даже на еще не выпущенной бета-версии macOS Big Sur, которая ожидается позже в этом году.
После того как Дантини и Уордл обнаружили вредоносное ПО, Apple устранила проблему 28 августа. Угроза безопасности этого рекламного ПО выглядит относительно низкой, но, конечно, это все еще то, чего Apple хочет избежать.
В своем заявлении представитель Apple сообщил TechCrunch: «Вредоносное программное обеспечение постоянно меняется, а система нотаризации Apple помогает нам избавляться от вредоносного ПО на Mac и позволяет нам быстро реагировать, когда оно обнаружено. Узнав об этом рекламном ПО, мы отозвали идентифицированный вариант, отключили учетную запись разработчика и отозвали связанные с ней сертификаты. Мы благодарим исследователей за их помощь в обеспечении безопасности наших пользователей».
Однако игра в кошки-мышки продолжается, как подробно описал Уордл в своем блоге:
Как было отмечено, Apple (довольно быстро) отозвала сертификаты подписи кода разработчиков, которые использовались для подписи вредоносных полезных нагрузок. Это произошло в пятницу, 28 августа.
Интересно, что в воскресенье (30 августа) рекламная кампания все еще была активна и распространяла новые полезные нагрузки. К сожалению, эти новые полезные нагрузки (все еще) нотаризованы:
Он объяснил далее:
Как старые, так и «новые» полезные нагрузки кажутся почти идентичными, содержащими OSX.Shlayer в сочетании с рекламным ПО Bundlore.
Однако способность злоумышленников гибко продолжать свою атаку (с другими нотаризованными полезными нагрузками) заслуживает внимания. Очевидно, что в нескончаемой игре в кошки-мышки между злоумышленниками и Apple, злоумышленники в настоящее время (все еще) выигрывают. 😢