Čuva li Apple ključne informacije o napadima zlonamjernog softvera skrivenim od antivirusnih tvrtki? Jedan istaknuti istraživač sigurnosti misli da bi to moglo biti.
Patrick Wardle, o čijim smo otkrićima mnogo puta pisali u Tom's Guideu, prošlog je mjeseca analizirao novu vrstu Mac zlonamjernog softvera pod nazivom Windshift. Primijetio je da je Apple opozvao digitalni certifikat koji je zlonamjernom softveru omogućio instalaciju na Mac računalima. To je dobro.
No, kad je Wardle provjerio VirusTotal, mrežno spremište poznatog zlonamjernog softvera, samo dva od nekih 60-ak antivirusnih strojeva za otkrivanje zlonamjernog softvera mogla su uočiti Windshift. Niti jedan od zlonamjernih programa nije uočio tri druge varijante Windshifta.
Wardleu je to moglo značiti samo jedno: Apple je otkrio zlonamjerni softver, a da o tome nije rekao antivirusnim tvrtkama. To je loše, jer svatko tko je već bio zaražen možda nikada ne bi saznao. U svijetu antivirusa takve biste informacije trebali podijeliti što je prije moguće kako biste održali imunitet stada.
"Znači li to da Apple ne dijeli vrijedne zlonamjerne programe/informacije o prijetnjama s AV-zajednicom, sprječavajući stvaranje široko rasprostranjenih AV potpisa koji mogu zaštititi krajnje korisnike ?!" Upitao je Wardle u svom blogu. "Da."
Čini se da Windshift cilja na određene pojedince na Bliskom istoku u sklopu špijunske kampanje koju sponzorira država. Prvi put ga je otkrila istraživačica DarkMattera Taha Karim na konferenciji Hack in the Box GSEC u Singapuru prošlog kolovoza.
Zlonamjerni softver inficira Macove sa zlonamjernih web stranica u višestupanjskom procesu, čiji posljednji korak, poput većine zlonamjernog softvera Mac, uključuje zavaravanje korisnika u dopuštanju instaliranja zlonamjernog softvera.
Kako bi olakšao tu prijevaru, Windshift se predstavlja kao različiti dokumenti Microsoft Office za Mac, zajedno s lijepim Officeovim ikonama. Detaljna verzija Karima, koju je Wardle prvo pogledao, pretvara se da je komprimirana PowerPoint prezentacija pod nazivom Meeting_Agenda.zip.
Wardle je 20. prosinca tražio tu datoteku na VirusTotal -u i pronašao podudarnost među milijunima uzoraka sumnjivog softvera postavljenim na web mjesto. Uzorak VirusTotal imao je "hash" ili matematički sažetak koda po kojem možete identificirati zlonamjerni softver.
Wardle je prošao raspršivanje kroz VirusTotal -ovu zbirku antivirusnih zlonamjernih programa i otkrio da su to otkrili samo Kaspersky i ZoneAlarm strojevi. Ostali su to propustili, znači nisu znali za to.
Zatim je tražio slične hasheve i pronašao još tri koja su se predstavila kao zip datoteke Word. Nijedan antivirusni motor ih nije otkrio. (Danas ih otkriva mnogo više antivirusnih strojeva zahvaljujući objavljivanju Wardleova bloga.)
Ipak, 20. prosinca Apple je već opozvao digitalni potpis potreban za instaliranje zlonamjernog softvera na Mac računalu koristeći zadane sigurnosne postavke. Drugim riječima, činilo se da je Apple znao za zlonamjerni softver prije nego što su to učinile antivirusne tvrtke, ali čini se da to nije rekao antivirusnim tvrtkama.
Prosječnom korisniku računala ovo se možda ne čini kao velika stvar, ali jest. Kako bi proizvođači softvera i antivirusne tvrtke pravilno obranili korisnike od zlonamjernog softvera, svi moraju biti na istoj stranici. To je standardna operativna praksa za sve uključene da razmjenjuju informacije što je prije moguće - a Wardle je implicirao da Apple nije igrao pošteno.
Problem otkrivanja zlonamjernog softvera "naglašava da se tradicionalni AV bori s novim/APT zlonamjernim softverom na macOS-u … ali i Appleovoj oholosti", rekao je Wardle za Dan Goodin iz Ars Technice. "Već smo ih vidjeli kako to rade :( To je obeshrabrujuće i netko ih mora pozvati na to."
Tom's Guide obratio se Appleu za komentar, a mi ćemo ažurirati ovu priču kad dobijemo odgovor.
- Macovi koje napadaju sjevernokorejski hakeri: što treba znati
- Najprodavanija aplikacija za Mac krade vašu povijest pregledavanja
- Zašto Apple iPhone ne treba antivirusni softver