| 14 августа 2023 г. — 4:18 по тихоокеанскому времени
macOS имеет ряд встроенных инструментов для обнаружения вредоносного ПО для Mac, при этом в прошлом году в защитные механизмы был добавлен Background Task Manager. Однако исследователь безопасности заявляет, что его можно легко обойти, и что Apple не приняла меры по его рекомендациям по устранению этой проблемы.
Патрик Уордл представил свои выводы на хакерской конференции Defcon, приняв необычное решение сделать это, не уведомив Apple заранее …
Трехслойная защита Apple от вредоносного ПО для Mac
Apple использует трехслойную систему для защиты Mac от вредоносного ПО.
Во-первых, она стремится предотвратить установку вредоносного ПО. Это достигается путем проверки приложений в Mac App Store и использования Gatekeeper с нотариальным заверением для обеспечения того, чтобы все остальные приложения были подписаны признанным разработчиком.
Во-вторых, если вредоносное ПО проходит этот уровень, оно использует XProtect для распознавания вредоносного ПО и блокировки его запуска.
macOS включает встроенную антивирусную технологию под названием XProtect для сигнатурного обнаружения и удаления вредоносного ПО. Система использует сигнатуры YARA, инструмент, применяемый для сигнатурного обнаружения вредоносного ПО, который Apple регулярно обновляет. Apple отслеживает новые инфекции и штаммы вредоносного ПО и автоматически обновляет сигнатуры — независимо от системных обновлений — чтобы помочь защитить Mac от вредоносных инфекций. XProtect автоматически обнаруживает и блокирует выполнение известного вредоносного ПО.
В-третьих, даже если вредоносное ПО запустилось однажды, Apple стремится предотвратить его дальнейший запуск. Компания часто обновляет XProtect для поиска вновь выявленного вредоносного ПО. Кроме того, в прошлом году Apple представила Background Task Manager, который ищет наиболее опасную форму вредоносного ПО: приложения, которые остаются активными.
Background Task Manager
Некоторое вредоносное ПО запускается один раз, например, чтобы украсть личные данные, а затем завершает работу. Но наиболее опасная форма вредоносного ПО остается активной. Такая форма вредоносного ПО может отслеживать текущую активность пользователя, загружать новые элементы с сервера злоумышленника и многое другое.
Apple стремится обнаружить это, отслеживая установку новых постоянных задач и уведомляя как пользователей, так и сторонние инструменты безопасности, работающие на Mac. Поскольку многие легитимные приложения создают постоянные задачи, вам не стоит беспокоиться, если вы устанавливаете новое приложение из Mac App Store или от доверенного разработчика и получаете это предупреждение.
Но если предупреждение появляется из ниоткуда, это признак того, что ваш Mac мог быть скомпрометирован.
Но его можно легко обойти
Исследователь безопасности Патрик Уордл в прошлом году уведомил Apple о ряде обнаруженных им недостатков в работе этого механизма. Он кое-что знает о проблемах реализации такого рода защиты, так как ранее создал свой собственный инструмент для выполнения той же задачи.
Но он сообщил изданию Wired, что Apple не решила более фундаментальные проблемы, которые он обсуждал с компанией.
Когда Background Task Manager только появился, Уордл обнаружил несколько более базовых проблем с этим инструментом, которые приводили к сбою уведомлений о постоянных событиях. Он сообщил о них Apple, и компания исправила ошибку. Но компания не выявила более глубоких проблем с этим инструментом.
«Мы долго обсуждали это, и в итоге они исправили эту проблему, но это было похоже на приклеивание скотча к падающему самолету, — говорит Уордл. — Они не понимали, что эта функция требовала много доработки».
Обходные пути Background Task Manager раскрыты
Обычно Уордл делится подробностями об эксплойтах только после того, как Apple их исправит. Однако в данном случае он говорит, что компания из Купертино, похоже, не заинтересована в этом, и поэтому он решил поделиться обнаруженными им обходными путями на хакерской конференции Defcon.
Один из них требует корневого доступа к целевому Mac, но два других — нет.
Уордл также обнаружил два способа, не требующих корневого доступа, чтобы отключить уведомления о постоянных процессах, которые Background Task Manager должен отправлять пользователю и продуктам мониторинга безопасности. Один из этих эксплойтов использует ошибку в том, как система оповещения взаимодействует с ядром операционной системы компьютера, известным как «ядро». Другой использует возможность, которая позволяет пользователям, даже не имеющим глубоких системных привилегий, переводить процессы в спящий режим. Уордл обнаружил, что этой возможностью можно манипулировать, чтобы прервать уведомления о постоянных процессах до того, как они достигнут пользователя.
Он выбрал такой образ действий, говорит он, потому что Background Task Manager в настоящее время создает ложное чувство безопасности как у пользователей, так и у компаний, занимающихся безопасностью, которые могут полагать, что этот аспект защиты от вредоносного ПО для Mac уже реализован.
Фото: Philipp Katzenberger/Unsplash