Czy Apple ukrywa kluczowe informacje o atakach złośliwego oprogramowania przed firmami antywirusowymi? Jeden wybitny badacz bezpieczeństwa uważa, że tak.
Patrick Wardle, o którego odkryciach pisaliśmy wielokrotnie w Tom's Guide, w zeszłym miesiącu przeanalizował nowy szczep złośliwego oprogramowania dla komputerów Mac o nazwie Windshift. Zauważył, że Apple unieważnił certyfikat cyfrowy, który pozwalał na instalację złośliwego oprogramowania na komputerach Mac. To dobrze.
Ale kiedy Wardle sprawdził VirusTotal, internetowe repozytorium znanego złośliwego oprogramowania, tylko dwa z około 60-ciu nieparzystych silników wykrywających złośliwe oprogramowanie antywirusowe mogły wykryć Windshifta. Żaden z silników szkodliwego oprogramowania nie wykrył trzech innych wariantów Windshift.
Dla Wardle'a może to oznaczać tylko jedno: Apple znalazł złośliwe oprogramowanie, nie informując o tym firm antywirusowych. To źle, ponieważ każdy, kto był już zarażony, mógł się nigdy nie dowiedzieć. W świecie oprogramowania antywirusowego takie informacje należy udostępniać JAK NAJSZYBCIEJ, aby utrzymać odporność stada.
„Czy to oznacza, że Apple nie udostępnia cennych informacji o złośliwym oprogramowaniu/zagrożeniach społeczności AV, uniemożliwiając tworzenie powszechnych sygnatur AV, które mogą chronić użytkowników końcowych?!” – zapytał Wardle w swoim wpisie na blogu. "Tak."
Wydaje się, że Windshift atakuje określone osoby na Bliskim Wschodzie w ramach sponsorowanej przez państwo kampanii szpiegowskiej. Po raz pierwszy została ujawniona przez badacza DarkMatter, Taha Karima, na konferencji Hack in the Box GSEC w Singapurze w sierpniu zeszłego roku.
Szkodnik ten infekuje komputery Mac ze złośliwych witryn w wieloetapowym procesie, którego ostatni krok, podobnie jak większość złośliwego oprogramowania na komputery Mac, polega na nakłonieniu użytkownika do zainstalowania złośliwego oprogramowania.
Aby ułatwić to oszustwo, Windshift prezentuje się jako różne dokumenty Microsoft Office dla komputerów Mac, wraz z ładnymi ikonami pakietu Office. Wersja szczegółowo opisana przez Karima, którą początkowo przeglądał Wardle, udaje skompresowaną prezentację PowerPoint o nazwie Meeting_Agenda.zip.
20 grudnia Wardle przeszukał ten plik na VirusTotal i znalazł dopasowanie wśród milionów próbek podejrzanego oprogramowania przesłanych na stronę. Próbka VirusTotal zawierała „hasz”, czyli matematyczne podsumowanie swojego kodu, dzięki któremu można zidentyfikować złośliwe oprogramowanie.
Wardle przejrzał hash przez kolekcję silników antywirusowych złośliwego oprogramowania VirusTotal i stwierdził, że wykryły go tylko silniki Kaspersky i ZoneAlarm. Reszta przepuściła to, co oznaczało, że o tym nie wiedzieli.
Następnie wyszukał skróty, które były podobne i znalazł trzy inne, które przedstawiały się jako spakowane pliki Worda. Żadne silniki antywirusowe ich nie wykryły. (Dzisiaj wykrywa je o wiele więcej silników antywirusowych, dzięki wpisowi na blogu Wardle'a).
Jednak 20 grudnia firma Apple unieważniła podpis cyfrowy wymagany do zainstalowania złośliwego oprogramowania na komputerach Mac przy użyciu domyślnych ustawień zabezpieczeń. Innymi słowy, wydawało się, że Apple wiedział o złośliwym oprogramowaniu, zanim zrobiły to firmy antywirusowe, ale najwyraźniej nie powiedział o tym firmom antywirusowym.
Dla przeciętnego użytkownika komputera może to nie wydawać się wielkim problemem, ale tak jest. Aby twórcy oprogramowania i firmy antywirusowe odpowiednio chronili użytkowników przed złośliwym oprogramowaniem, wszyscy muszą być na tej samej stronie. Standardową praktyką operacyjną dla wszystkich zaangażowanych jest dzielenie się informacjami tak szybko, jak to możliwe – a Wardle sugerował, że Apple nie postępuje uczciwie.
Problem wykrywania złośliwego oprogramowania „podkreśla, że tradycyjne oprogramowanie antywirusowe zmaga się z nowym złośliwym oprogramowaniem/APT w systemie macOS… ale także z pychą Apple” – powiedział Wardle Danowi Goodinowi z Ars Technica. „Widzieliśmy, jak robią to już wcześniej :( To przygnębiające i ktoś musi ich do tego przywołać”.
Tom's Guide skontaktował się z Apple w celu uzyskania komentarza, a my zaktualizujemy tę historię, gdy otrzymamy odpowiedź.
- Komputery Mac zaatakowane przez hakerów z Korei Północnej: co należy wiedzieć
- Najlepiej sprzedająca się aplikacja na komputery Mac kradnie Twoją historię przeglądania
- Dlaczego iPhone'y Apple nie potrzebują oprogramowania antywirusowego