Az Apple elrejti a rosszindulatú programok elleni támadásokkal kapcsolatos fontos információkat a víruskereső cégek elől? Egy neves biztonsági kutató azt gondolja, hogy ez lehet.
Patrick Wardle, akinek felfedezéseiről már sokszor írtunk a Tom's Guide -ban, a múlt hónapban a Mac rosszindulatú szoftvereinek új törzsét, a Windshift -et elemezte. Észrevette, hogy az Apple visszavonta azt a digitális tanúsítványt, amely lehetővé tette a rosszindulatú programok telepítését Mac gépekre. Az jó.
De amikor Wardle ellenőrizte a VirusTotal-t, az ismert rosszindulatú programok online adattárát, a 60-as páratlan víruskereső kártevő-érzékelő motorok közül csak kettő észlelhette a Windshiftet. A rosszindulatú programok egyike sem észlelt három másik Windshift változatot.
Wardle számára ez csak egyet jelenthet: az Apple rosszindulatú programokat talált anélkül, hogy erről értesítette volna a víruskereső cégeket. Ez rossz, mert aki már megfertőződött, talán soha nem tudta volna meg. A víruskereső világban minél hamarabb meg kell osztania ezeket az információkat az állomány immunitásának fenntartása érdekében.
"Ez azt jelenti, hogy az Apple nem oszt meg értékes kártevőket/fenyegetés-intel-eket az AV-közösséggel, megakadályozva a széles körben elterjedt AV-aláírások létrehozását, amelyek megvédhetik a végfelhasználókat ?!" - kérdezte Wardle blogbejegyzésében. "Igen."
Úgy tűnik, hogy a Windshift konkrét személyeket céloz meg a Közel-Keleten egy államilag támogatott kémkedési kampány részeként. Taha Karim, a DarkMatter kutatója hozta nyilvánosságra először a Hack in the Box GSEC konferencián tavaly augusztusban.
A rosszindulatú program egy többlépcsős folyamat során fertőzi meg a Mac -eket a rosszindulatú webhelyekről, amelynek utolsó lépése, mint a legtöbb Mac -es rosszindulatú program, magában foglalja a felhasználó becsapását a rosszindulatú programok telepítésének engedélyezésében.
A megtévesztés megkönnyítése érdekében a Windshift különféle Microsoft Office for Mac dokumentumként mutatkozik be, szép Office -ikonokkal kiegészítve. A Karim által részletezett verzió, amelyet Wardle kezdetben nézett, tömörített PowerPoint -bemutatónak adja ki magát Meeting_Agenda.zip néven.
December 20 -án Wardle megkereste a fájlt a VirusTotal webhelyen, és találatot talált a webhelyre feltöltött gyanús szoftverek milliói között. A VirusTotal minta kódjának "kivonata" vagy matematikai összefoglalója volt, amely alapján azonosítani tudja a rosszindulatú programot.
Wardle végigfuttatta a kivonatot a VirusTotal víruskereső rosszindulatú motorjainak gyűjteményén, és megállapította, hogy csak a Kaspersky és a ZoneAlarm motorok észlelték. A többi hagyta magát, vagyis nem tudtak róla.
Ezután hasonló kivonatokat keresett, és talált még hármat, amelyek tömörített Word fájlként jelentek meg. Ezeket egyetlen víruskereső motor sem észlelte. (Manapság sokkal több víruskereső motor észleli őket, köszönhetően Wardle blogbejegyzésének.)
December 20 -án az Apple azonban már visszavonta azt a digitális aláírást, amely szükséges ahhoz, hogy a kártevő Mac -re települjön az alapértelmezett biztonsági beállításokkal. Más szóval úgy tűnt, hogy az Apple már a víruskereső cégek előtt is tudott a rosszindulatú programokról, de úgy tűnt, hogy nem mondta el a víruskereső cégeknek.
Ez egy átlagos számítógép -felhasználó számára nem tűnik nagy dolognak, de így van. Annak érdekében, hogy a szoftvergyártók és a víruskereső cégek megfelelően megvédjék a felhasználókat a rosszindulatú programok ellen, mindenkinek ugyanazon az oldalon kell lennie. Szokásos működési gyakorlat, hogy minden érintett a lehető leghamarabb megosztja az információkat - és Wardle azt sugallta, hogy az Apple nem játszik tisztességesen.
A rosszindulatú programok észlelésének problémája "rávilágít arra, hogy a hagyományos AV harcol az új/APT rosszindulatú programokkal a MacOS-on … de az Apple hubrisával is"-mondta Wardle az Ars Technica Dan Goodin-nek. "Láttuk már, hogy ezt csinálják :( Elkeserítő, és valakinek fel kell hívnia őket."
A Tom's Guide az Apple -hez fordult megjegyzésért, és ha válasz érkezik, frissítjük ezt a történetet.
- Mac számítógépek, amelyeket észak -koreai hackerek támadtak: mit kell tudni
- A legkelendőbb Mac-alkalmazás ellopja a böngészési előzményeket
- Miért nincs szükség az Apple iPhone készülékekre víruskereső szoftverre?