Διατηρεί η Apple σημαντικές πληροφορίες σχετικά με επιθέσεις κακόβουλου λογισμικού κρυφές από εταιρείες προστασίας από ιούς; Ένας εξέχων ερευνητής ασφάλειας πιστεύει ότι μπορεί να είναι.
Ο Patrick Wardle, για τις ανακαλύψεις του οποίου έχουμε γράψει πολλές φορές στον Tom's Guide, ανέλυσε τον περασμένο μήνα ένα νέο είδος κακόβουλου λογισμικού Mac που ονομάζεται Windshift. Παρατήρησε ότι η Apple είχε ανακαλέσει το ψηφιακό πιστοποιητικό που άφηνε το κακόβουλο λογισμικό να εγκατασταθεί σε Mac. Αυτό είναι καλό.
Αλλά όταν ο Wardle έλεγξε το VirusTotal, ένα διαδικτυακό αποθετήριο γνωστών κακόβουλων προγραμμάτων, μόνο δύο από τις περίπου 60 μηχανές ανίχνευσης κακόβουλου λογισμικού ιών θα μπορούσαν να εντοπίσουν το Windshift. Κανένας από τους κινητήρες κακόβουλου λογισμικού δεν εντόπισε άλλες τρεις παραλλαγές Windshift.
Για τον Wardle, αυτό θα μπορούσε να σημαίνει μόνο ένα πράγμα: η Apple βρήκε κακόβουλο λογισμικό χωρίς να ενημερώσει σχετικά τις εταιρείες ιών. Αυτό είναι κακό, γιατί όποιος είχε ήδη μολυνθεί ίσως να μην το είχε μάθει ποτέ. Στον κόσμο των ιών, υποτίθεται ότι μοιράζεστε τέτοιες πληροφορίες το συντομότερο δυνατό για να διατηρήσετε την ασυλία της αγέλης.
"Αυτό σημαίνει ότι η Apple δεν μοιράζεται πολύτιμο κακόβουλο λογισμικό/απειλή-intel με την κοινότητα AV, εμποδίζοντας τη δημιουργία εκτεταμένων υπογραφών AV που μπορούν να προστατεύσουν τους τελικούς χρήστες;" Ρώτησε ο Wardle στην ανάρτησή του στο blog του. "Ναί."
Η Windshift φαίνεται να στοχεύει συγκεκριμένα άτομα στη Μέση Ανατολή στο πλαίσιο μιας κρατικής εκστρατείας κατασκοπείας. Αποκαλύφθηκε για πρώτη φορά από τον ερευνητή της DarkMatter Taha Karim στη διάσκεψη GSEC της Hack in the Box στη Σιγκαπούρη τον περασμένο Αύγουστο.
Το κακόβουλο λογισμικό μολύνει Mac από κακόβουλους ιστότοπους σε μια διαδικασία πολλαπλών σταδίων, το τελευταίο βήμα της οποίας, όπως και τα περισσότερα κακόβουλα προγράμματα Mac, περιλαμβάνει την εξαπάτηση του χρήστη ώστε να επιτρέψει την εγκατάσταση του κακόβουλου λογισμικού.
Για να διευκολυνθεί αυτή η απάτη, το Windshift παρουσιάζεται ως διάφορα έγγραφα του Microsoft Office για Mac, με όμορφα εικονίδια του Office. Η έκδοση του Karim με λεπτομέρειες και την οποία ο Wardle εξέτασε αρχικά, προσποιείται ότι είναι μια συμπιεσμένη παρουσίαση του PowerPoint που ονομάζεται Meeting_Agenda.zip.
Στις 20 Δεκεμβρίου, ο Wardle έψαξε για αυτό το αρχείο στο VirusTotal και βρήκε μια αντιστοιχία μεταξύ των εκατομμυρίων δειγμάτων ύποπτου λογισμικού που ανέβηκαν στον ιστότοπο. Το δείγμα VirusTotal είχε "κατακερματισμό" ή μια μαθηματική περίληψη του κώδικα του, με την οποία μπορείτε να προσδιορίσετε το κακόβουλο λογισμικό.
Ο Wardle έτρεξε το hash μέσα από τη συλλογή κακόβουλων προγραμμάτων VirusTotal και διαπίστωσε ότι μόνο οι κινητήρες Kaspersky και ZoneAlarm το εντόπισαν. Οι υπόλοιποι το άφησαν να περάσει, δηλαδή δεν το γνώριζαν.
Στη συνέχεια έψαξε για παρόμοια hashes και βρήκε άλλα τρία που παρουσιάζονταν ως αρχεία Word με φερμουάρ. Δεν εντοπίστηκαν από μηχανές προστασίας από ιούς. (Πολλοί περισσότεροι μηχανισμοί προστασίας από ιούς τα εντοπίζουν σήμερα, χάρη στην ανάρτηση στο ιστολόγιο του Wardle.)
Ωστόσο, στις 20 Δεκεμβρίου, η Apple είχε ήδη ανακαλέσει την ψηφιακή υπογραφή που απαιτείται για την εγκατάσταση του κακόβουλου λογισμικού σε Mac χρησιμοποιώντας προεπιλεγμένες ρυθμίσεις ασφαλείας. Με άλλα λόγια, η Apple φαινόταν να γνώριζε για το κακόβουλο λογισμικό πριν από τις εταιρείες προστασίας από ιούς, αλλά δεν φαίνεται να το είχε πει στις εταιρείες προστασίας από ιούς.
Αυτό μπορεί να μην φαίνεται μεγάλη υπόθεση για τον μέσο χρήστη υπολογιστή, αλλά είναι. Προκειμένου οι κατασκευαστές λογισμικού και οι εταιρείες προστασίας από ιούς να υπερασπιστούν σωστά τους χρήστες από κακόβουλο λογισμικό, όλοι πρέπει να βρίσκονται στην ίδια σελίδα. Είναι συνήθης πρακτική λειτουργίας για όλους τους εμπλεκόμενους να μοιράζονται πληροφορίες το συντομότερο δυνατό - και ο Wardle υπονοούσε ότι η Apple δεν έπαιζε δίκαια.
Το ζήτημα ανίχνευσης κακόβουλου λογισμικού "υπογραμμίζει ότι το παραδοσιακό AV αγωνίζεται με νέο/κακόβουλο λογισμικό APT στο macOS … αλλά και την ύβρη της Apple", δήλωσε ο Wardle στον Dan Goodin της Ars Technica. "Τα έχουμε ξαναδεί να το κάνουν αυτό: (Είναι απογοητευτικό και κάποιος πρέπει να τους φωνάξει".
Ο Tom's Guide έχει επικοινωνήσει με την Apple για σχόλια και θα ενημερώσουμε αυτήν την ιστορία όταν λάβουμε μια απάντηση.
- Mac που επιτέθηκαν από βορειοκορεάτες χάκερ: Τι να γνωρίζετε
- Η εφαρμογή Mac με τις καλύτερες πωλήσεις κλέβει το ιστορικό περιήγησής σας
- Γιατί τα iPhone της Apple δεν χρειάζονται λογισμικό προστασίας από ιούς