Apple przypadkowo autoryzowało malware na macOS

Apple przypadkowo autoryzowało malware na macOS

2 września 2020 0 przez Rafał Skrzypek

Od lat uważa się, że malware na macOS jest zdecydowanie rzadszym zjawiskiem niż na Windows. Do niedawna była to prawda, ale dziś nie jest to wcale tak oczywiste. Apple zadziałało już w lutym, ogłaszając program uwierzytelniania aplikacji, który wyeliminował większość potencjalnych źródeł szkodliwego oprogramowania.

Każdy, nawet pochodzący spoza App Store program, instalowany na komputerach z macOS musi dziś przejść odpowiedni proces weryfikacyjny. Bez niego system nie pozwoli na instalację – użytkownik może to zabezpieczenie obejść, ale nie jest to zadanie proste. Okazuje się jednak, że mechanizm uwierzytelniający ma luki, przez które przemknął się ostatnio dość znany malware Shlayer.

Aplikacja zachowuje się jak każda tego typu, wstrzykując np. reklamy w wyniki wyszukiwania. Dziwny jest jednak fakt, że Shlayer uzyskał uwierzytelnienie, mimo że wykryta przez badaczy wersja jest praktycznie identyczna z poprzednimi, które zostały przez Apple zablokowane. Tym samym jest to pierwszy przypadek malware z oficjalnym uwierzytelnieniem giganta z Cupertino.

Przypadkowe odkrycie

Pierwszy natknął się na niego student koledżu Peter Dantini. Pomylił się on, wpisując w przeglądarkę adres strony i został przekierowany na inny, który proponował zainstalowanie fałszywego Adobe Flash. Zaciekawiony Dantini pobrał program i ze zdziwieniem zarejestrował, że system mimo ostrzeżenia pozwala na instalację. Po potwierdzeniu, że aplikacja jest rzeczywiście autoryzowana skontaktował się z Patrickiem Wardle, specjalistą od zabezpieczeń macOS.

Wardle, gdy tylko się upewnił, że taka sytuacja rzeczywiście ma miejsce, skontaktował się z Apple i 28 sierpnia zgłosił problem. Tego samego dnia wycofano uwierzytelnienie dla Shlayera. To zneutralizowało już zainstalowane wersje malware i zablokowało możliwość instalacji nowych. Okazało się jednak, że kampania skierowana przeciwko użytkownikom macOS trwa w najlepsze. Cyberprzestępcy użyli bowiem innego Apple Developer ID i z nieznanych powodów udało im się ponownie pokonać mechanizmy stojące za uwierzytelnieniem. 30 sierpnia Wardle ponownie poinformował Apple i tym razem automaty zadziałały już na dobre.

Jak to się stało, że Shlayer przemknął się przez gęste sito, nie wiadomo. Pamiętajcie więc, że niezależnie od tego, jakich mechanizmów używa dostawca systemu operacyjnego, żaden z nich nie jest doskonały. Warto mieć w zanadrzu dodatkową ochronę w postaci programu antywirusowego ꟷ nawet na macOS.