jeden z twoich Narzędzia do wykrywania złośliwego oprogramowania wbudowane w komputer Mac mogą nie działać tak dobrze, jak myślisz. Na konferencji hakerów Defcon w Las Vegas, starszy badacz bezpieczeństwa komputerów Mac, Patrick Wardle, przedstawił dziś ustalenia dotyczące luk w mechanizmie zarządzania zadaniami w tle macOS firmy Apple, które można wykorzystać do ominięcia, a co za tym idzie, pokonania niedawno dodanego przez firmę narzędzia monitorującego.
Nie ma niezawodnego sposobu na wychwytywanie złośliwego oprogramowania na komputerach z całkowitą dokładnością, ponieważ w istocie złośliwe oprogramowanie to tylko oprogramowanie, takie jak przeglądarka internetowa lub aplikacja do czatu. Odróżnienie legalnego oprogramowania od nielegalnego może być trudne. Dlatego twórcy systemów operacyjnych, tacy jak Microsoft i Apple, a także zewnętrzne firmy zajmujące się bezpieczeństwem, nieustannie opracowują nowe mechanizmy wykrywania i narzędzia, które mogą wykrywać zachowanie złośliwego oprogramowania na nowe sposoby.
Narzędzie Apple do zarządzania zadaniami w tle koncentruje się na monitorowaniu „trwałości” programów. Złośliwe oprogramowanie może być zaprojektowane tak, aby było efemeryczne i działało na urządzeniu tylko przez krótki czas lub do ponownego uruchomienia komputera. Ale można go również zaprojektować tak, aby instalował się głębiej i „kontynuował” atak, nawet gdy komputer jest wyłączony i ponownie włączony. Wiele legalnych programów wymaga wytrwałości, więc wszystkie Twoje aplikacje, dane i preferencje pojawią się, gdy je zostawisz, za każdym razem, gdy włączysz urządzenie. Ale jeśli programy okazują się nieoczekiwanie lub nagle działać dalej, może to oznaczać coś złośliwego.
Mając to na uwadze, firma Apple dodała Menedżera zadań w tle w systemie macOS Ventura, który został uruchomiony w październiku 2022 r., aby wysyłać powiadomienia bezpośrednio do użytkowników i do wszelkich narzędzi zabezpieczających innych firm działających w systemie, jeśli wystąpi „trwałe zdarzenie”. W ten sposób, jeśli wiesz, że właśnie pobrałeś i zainstalowałeś nową aplikację, możesz zignorować wiadomość. Ale jeśli nie, możesz zbadać, czy nie zostałeś zhakowany.
Musi być narzędzie [that notifies you] Kiedy coś ciągle się instaluje, miło jest, gdy Apple to dodaje, ale implementacja była tak słaba, że każde dość wyrafinowane złośliwe oprogramowanie mogło w prosty sposób ominąć monitorowanie” – mówi Wardle o ustaleniach Defcon.
Nie udało się skontaktować z Apple w celu uzyskania komentarza.
Jako część Fundacji Objective-See, która zapewnia bezpłatne narzędzia bezpieczeństwa macOS o otwartym kodzie źródłowym, Wardle wprowadził podobne narzędzie do powiadamiania o zdarzeniach trwałych, znane jako blokblok przez lata. „Ponieważ napisałem podobne narzędzia”, mówi, „Znam wyzwania, przed którymi stanęły moje narzędzia, i zastanawiałem się, czy narzędzia i ramy Apple mają te same problemy do rozwiązania – i tak jest”. Złośliwe oprogramowanie może nadal istnieć w całkowicie niewidoczny sposób.
Kiedy po raz pierwszy pojawił się Menedżer zadań w tle, Wardle wykrył kilka podstawowych problemów z narzędziem, które powodowały niepowodzenie powiadomień o zdarzeniach trwałości. On wspomniany Apple je, a firma naprawiła błąd. Ale firma nie zidentyfikowała głębszych problemów z narzędziem.
„Chodziliśmy tam iz powrotem iw końcu rozwiązali ten problem, ale to było jak nakładanie taśmy klejącej na samolot, który się rozbił” – mówi Wardle. „Nie zdawali sobie sprawy, że ta funkcja wymaga dużo pracy”.
„Lekarz gier. Fanatyk zombie. Studio muzyczne. Kawiarni ninja. Miłośnik telewizji. Miły fanatyk alkoholik.
