Ali Apple skriva ključne informacije o napadih zlonamerne programske opreme pred protivirusnimi podjetji? Eden uglednih raziskovalcev na področju varnosti meni, da bi to lahko bilo.
Patrick Wardle, o odkritjih katerih smo že velikokrat pisali v Tom's Guide, je prejšnji mesec analiziral novo vrsto zlonamerne programske opreme Mac, imenovano Windshift. Opazil je, da je Apple preklical digitalno potrdilo, ki je omogočilo namestitev zlonamerne programske opreme na računalnike Mac. To je dobro.
Ko pa je Wardle preveril VirusTotal, spletno skladišče znane zlonamerne programske opreme, sta lahko le dva od približno 60-ih motorjev za odkrivanje protivirusne zlonamerne programske opreme zaznala Windshift. Noben motor zlonamerne programske opreme ni opazil treh drugih različic Windshift.
Wardleju bi to lahko pomenilo le eno: Apple je odkril zlonamerno programsko opremo, ne da bi o tem povedal protivirusnim podjetjem. To je slabo, kajti vsak, ki je bil že okužen, morda nikoli ne bi izvedel. V svetu protivirusnih programov bi morali takšne informacije deliti čim prej, da ohranite imuniteto črede.
"Ali to pomeni, da Apple ne deli dragocene zlonamerne programske opreme/informacij o grožnjah z AV-skupnostjo, kar preprečuje ustvarjanje razširjenih AV podpisov, ki lahko zaščitijo končne uporabnike ?!" Je Wardle vprašal v svojem spletnem dnevniku. "Ja."
Zdi se, da Windshift cilja na določene posameznike na Bližnjem vzhodu v okviru vohunske akcije, ki jo sponzorira država. Prvič ga je razkrila raziskovalka DarkMatter Taha Karim na konferenci Hack in the Box GSEC v Singapurju avgusta lani.
Zlonamerna programska oprema okuži Mace z zlonamernih spletnih mest v večstopenjskem procesu, katerega zadnji korak, tako kot večina zlonamerne programske opreme Mac, vključuje zavajanje uporabnika, da dovoli namestitev zlonamerne programske opreme.
Da bi olajšali to prevaro, se Windshift predstavlja kot različni dokumenti Microsoft Office za Mac, skupaj s čudovitimi Officeovimi ikonami. Podrobna različica Karima, ki jo je Wardle sprva pogledal, se pretvarja, da je stisnjena predstavitev PowerPoint, imenovana Meeting_Agenda.zip.
20. decembra je Wardle iskal to datoteko na VirusTotal in našel ujemanje med milijoni vzorcev sumljive programske opreme, naloženih na spletno mesto. Vzorec VirusTotal je imel "hash" ali matematični povzetek kode, po katerem lahko prepoznate zlonamerno programsko opremo.
Wardle je pregledoval zbirko protivirusnih motorjev zlonamerne programske opreme VirusTotal in ugotovil, da so jo zaznali le motorji Kaspersky in ZoneAlarm. Ostali so pustili mimo, kar pomeni, da o tem niso vedeli.
Nato je iskal podobne hashe in našel še tri, ki so se predstavile kot datoteke z zadrgo Word. Noben protivirusni motor jih ni odkril. (Zahvaljujoč objavi na spletnem dnevniku Wardle jih danes zazna veliko več protivirusnih motorjev.)
20. decembra je Apple že preklical digitalni podpis, potreben za namestitev zlonamerne programske opreme v računalnike Mac s privzetimi varnostnimi nastavitvami. Z drugimi besedami, zdelo se je, da je Apple že vedel za zlonamerno programsko opremo, še preden so to storila protivirusna podjetja, vendar se zdi, da protivirusnim podjetjem ni povedal.
Povprečnemu uporabniku računalnikov se to morda ne zdi velik problem, vendar je. Da bi proizvajalci programske opreme in protivirusna podjetja ustrezno zaščitili uporabnike pred zlonamerno programsko opremo, morajo biti vsi na isti strani. To je običajna praksa, da vsi sodelujoči čim prej izmenjujejo informacije - in Wardle je nakazal, da Apple ni igral pošteno.
Težava pri odkrivanju zlonamerne programske opreme "poudarja, da se tradicionalni AV spopada z novo/zlonamerno programsko opremo APT v sistemu macOS…, pa tudi Applovo ošabnost," je Wardle povedal Dan Goodinu iz Ars Technice. "To smo že videli :( To je razočaranje in nekdo jih mora poklicati."
Tom's Guide se je obrnil na Apple za komentar in to zgodbo bomo posodobili, ko bomo prejeli odgovor.
- Mac -i, ki so jih napadli severnokorejski hekerji: kaj morate vedeti
- Najbolje prodajana aplikacija za Mac vam ukrade zgodovino brskanja
- Zakaj Apple iPhone ne potrebuje protivirusne programske opreme