NowościOprogramowanieRTV

Przypadkowy notariusz: Apple zezwala na uruchamianie znanego złośliwego oprogramowania na komputerach Mac

Replika konia trojańskiego składająca się z tysięcy komponentów komputera i telefonu komórkowego zainfekowanych różnymi wirusami i złośliwym oprogramowaniem, nazwana "Cyber ​​Horse" jest wyświetlany przy wejściu na doroczną konferencję Cyber ​​Week na Uniwersytecie w Tel Awiwie w izraelskim Tel Awiwie 20 czerwca 2016 r. Cyber ​​Horse to dzieło sztuki składające się z urządzeń, które mogą zostać uszkodzone przez złośliwe oprogramowanie i zostało stworzone w w celu pobudzenia krajowej i międzynarodowej świadomości zagrożeń związanych z cyberatakami.
Powiększać / Replika konia trojańskiego składająca się z tysięcy komponentów komputera i telefonu komórkowego zainfekowanych różnymi wirusami i złośliwym oprogramowaniem, zwana „Cyber ​​Horse”, jest wyświetlana przy wejściu na doroczną konferencję Cyber ​​Week na Uniwersytecie w Tel Awiwie w izraelskim mieście Tel Awiw, 20 czerwca 2016 r. Cyber ​​Horse to dzieło sztuki składające się z urządzeń, które mogą zostać uszkodzone przez złośliwe oprogramowanie, stworzone w celu zwrócenia krajowej i międzynarodowej świadomości na temat zagrożeń związanych z cyberatakami.

JACK GUEZ / AFP przez Getty Images

Kiedy ochrona Apple przed złośliwym oprogramowaniem może stanowić większe ryzyko dla użytkownika niż żadna? Kiedy potwierdza, że ​​trojan jest bezpieczny, mimo że wystaje jak bolący kciuk i stanowi jedno z największych zagrożeń na platformie macOS.

Świat otrzymał tę lekcję poglądową w weekend po tym, jak Apple dało swoje imprimatur najnowszym próbkom „Shlayer”, nazwy nadanej trojanowi, który był jednym z najczęściej – jeśli nie the najbardziej – płodne fragmenty złośliwego oprogramowania dla komputerów Mac od ponad dwóch lat. Pieczęć zatwierdzenia nadeszła w postaci mechanizmu notarialnego wprowadzonego przez Apple w macOS Mojave, aby, jak to ujął Apple, „dać użytkownikom więcej pewności”, że zainstalowana przez nich aplikacja „została sprawdzona przez Apple pod kątem szkodliwych składników”.

Wraz z wprowadzeniem systemu macOS Catalina, notarialność stała się wymogiem dla wszystkich aplikacji. O ile aplikacja nie została zainstalowana przy użyciu metod niewymienionych przez Apple (więcej na ten temat później), nie notarialna aplikacja wygeneruje następujący komunikat z informacją, że „nie można jej otworzyć, ponieważ Apple nie może sprawdzić jej pod kątem złośliwego oprogramowania”.

Klasyczny Shlayer … z jedną wielką różnicą

W piątek studentka Peter H. Dantini znalazłem homebrew[.]sh – podróbka legalnej witryny homebrew brew.sh – rozpowszechniała fałszywą aktualizację Adobe Flash i ostrzegała użytkowników, że ich aktualna wersja nie zawiera najnowszych aktualizacji zabezpieczeń.

To była klasyczna kampania Shlayera, podobna do setek lub tysięcy poprzednich, które również wykorzystywały fałszywe aktualizacje Flash do infekowania użytkowników adware z wyjątkiem z jednej kluczowej różnicy: trojan został poświadczony notarialnie przez Apple. Patrick Wardle, który jest badaczem bezpieczeństwa w firmie Jamf zarządzającej przedsiębiorstwem macOS i iOS, powiedział, że jest przekonany, że jest to pierwsze złośliwe oprogramowanie, które otrzymało notarialną „pieczęć zatwierdzenia”.

Wardle powiadomił Apple w piątek o błędnie poświadczonym notarialnie pliku, a firma szybko cofnęła certyfikat, co uniemożliwiło trojanowi zainfekowanie aktualnych komputerów Mac. W niedzielę, powiedział Wardle, odkrył, że witryna zawierała nowe złośliwe ładunki, które ponownie zostały poświadczone notarialnie przez Apple.

„Niestety, system, który obiecuje zaufanie, ale nie działa, może ostatecznie narazić użytkowników na większe ryzyko” – napisał Wardle w poście. “Jak to? Jeśli użytkownicy komputerów Mac kupią roszczenia Apple, prawdopodobnie będą w pełni ufać każdemu poświadczonemu notarialnie oprogramowaniu. Jest to niezwykle problematyczne, ponieważ znane złośliwe oprogramowanie (takie jak OSX.Shlayer) już (trywialnie?) Zdobywa takie notarialnie! ”

Dostawca oprogramowania antywirusowego Malwarebytes również odważył się, mówiąc: „Niestety, zaczyna wyglądać na to, że notarialność może oznaczać mniej bezpieczeństwa i więcej teatru bezpieczeństwa”.

W obronie poświadczenia notarialnego

W oświadczeniu urzędnicy Apple napisali: „Złośliwe oprogramowanie stale się zmienia, a system notarialny firmy Apple pomaga nam chronić komputer Mac przed złośliwym oprogramowaniem i pozwala nam szybko reagować, gdy zostanie wykryte. Po zapoznaniu się z tym oprogramowaniem reklamowym unieważniliśmy zidentyfikowany wariant, wyłączyliśmy konto programisty i unieważniliśmy powiązane certyfikaty. Dziękujemy naukowcom za pomoc w zapewnianiu bezpieczeństwa naszym użytkownikom ”.

W obronie Apple firma zawsze była jasna, że ​​poświadczenie notarialne to „zautomatyzowany system, który skanuje oprogramowanie w poszukiwaniu złośliwej zawartości, sprawdza problemy z podpisywaniem kodu i szybko zwraca wyniki”. W związku z tym firma Apple nigdy nie przedstawiła tego jako kompleksowej kontroli bezpieczeństwa.

Nawet jeśli notarialność uniemożliwia normalną instalację aplikacji, obejście tego mechanizmu nie jest trudne. Jak pokazano na poniższym zrzucie ekranu, dzięki uprzejmości Malwarebytes, niezatwierdzone wersje Shlayera od dawna prezentowały znaki z niestandardowym tłem, które poinstruowało ich, aby kliknęli prawym przyciskiem myszy plik obrazu dysku, zamiast kliknąć go dwukrotnie, jak zwykle, a następnie wybrać opcję Otwórz.

Malwarebytes

Dzięki temu złośliwe oprogramowanie jest instalowane.

Bezzębny … i ból w użyciu

Jednocześnie, jak zauważył w zeszłym roku Andrew Cunningham, obecnie niezależny recenzent Ars, notarialność jest obciążeniem zarówno dla użytkowników, jak i programistów. Przypuszczalnie Apple upoważnił go do rozszerzenia wcześniej wprowadzonych zabezpieczeń przed podpisywaniem kodu, które wymagają od programistów uwierzytelniania swoich aplikacji za pomocą certyfikatu kryptograficznego wydanego przez Apple. Jeśli dzięki tej usłudze użytkownicy są bezpieczniejsi, możesz mieć dobre argumenty, by powiedzieć, że niedogodności są tego warte. Trudniej jest przedstawić ten argument, jeśli nowa funkcja daje użytkownikom fałszywe poczucie bezpieczeństwa.

Notarialność wygląda szczególnie bezzębnie, gdy nie wykrywa tej konkretnej rodziny złośliwego oprogramowania. Jak informował Kaspersky Lab w styczniu, Shlayer był największym zagrożeniem dla systemu macOS od około dwóch lat i odpowiadał za około 30% wszystkich wykryć w systemie operacyjnym w 2019 roku. Shlayer wykracza również daleko poza uciążliwości oprogramowania reklamowego. Na przykład po użyciu technik przechwytywania kliknięć w celu nakłonienia użytkowników do zainstalowania certyfikatu kryptograficznego z podpisem własnym, złośliwe oprogramowanie odszyfrowuje i odczytuje cały zaszyfrowany ruch HTTPS. Zbiera również identyfikatory użytkowników.

Głupota Apple’a jest jeszcze trudniejsza do zrozumienia, gdy dotyczy plików takich jak te znalezione w piątek i ponownie w niedzielę.

„To była fałszywa aktualizacja odtwarzacza Flash … z ikoną Adobe i wszystkim … oczywiście nie podpisana przez Adobe”, powiedział mi Wardle na czacie online. „Można by pomyśleć, że to wielka czerwona flaga, którą Apple i tak by po prostu zablokował, jak, hmm, cokolwiek, co udaje aktualizację„ Flash ”… tak, nie, nie notarialnie tego, bo kogo to obchodzi, co robi (czyli czym jest malware / adware), obv. jest fałszywy / złośliwy ”.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook