Стоковые изображения от Depositphotos
Исследователь безопасности Седрик Оуэнс и руководитель компании по кибербезопасности Jamf Protect Джарон Брэдли обнаружили уязвимость в операционной системе для компьютеров Mac, сообщает портал The Vice.
По словам экспертов, хакеры использовали эту ошибку для атак с использованием вредоносной программы Shlayer, позволяющей получить полный контроль над компьютером жертвы, минуя средства защиты Apple на MacOS, такие как Gatekeeper и File Quarantine.
Эти механизмы призваны блокировать файлы, скачанные пользователем из интернета и не проверенные Apple на наличие вредоносного ПО.
В своем техническом анализе исследователи Jamf заявили, что Shlayer распространялся посредством «отравления» поисковых систем — метода, с помощью которого хакеры быстрее распространяют свое вредоносное ПО, продвигая ссылку на веб-сайт с программой в первые строки поиска.
Оуэнс объяснил, что ошибка крылась в системе «syspolicyd», которая оценивает приложения перед их запуском. Хакер мог замаскировать вредоносную программу и заставить Gatekeeper не проверять его, когда пользователь открывает файл.
«Это наихудшая и потенциально самая серьезная уязвимость для пользователей macOS, если учесть то, что она обходит Gatekeeper... и все, что пользователю нужно будет сделать — открыть файл», — рассказал независимый исследователь, специализирующийся на MacOS Патрик Уордл.
Исследователи сообщили о найденной ошибке в Apple 25 марта 2021 года, и уже на этой неделе компания выпустила патч в последней версии MacOS Big Sur 11.3, который исправил ее. Всем владельцам компьютеров Mac рекомендуется срочно обновить свое ПО до актуальной версии.
«У Apple есть собственный магазин приложений, которые компания проверяет на защищённость. Однако пользователи ПК часто хотят установить программы и файлы из сторонних источников, не переживая о безопасности. Причина в том, что у пользователей Apple сложилось ложное представление о том, что платформы iOS и macOS полностью безопасны, якобы для них не существует вирусов», — отмечает директор Центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов.
По словам Чернова, начиная с версии macOS Catalina, если программа проверена компанией Apple, она маркируется, и macOS не препятствует ее запуску. Предположим, разработчик создал приложение, но не планирует размещать его в магазине AppStore, а хочет оставить ссылку для скачивания на своем сайте. В таком случае ему необходимо пройти процесс нотаризации Apple, чтобы приложение можно запуститься без предупреждений безопасности от операционной системы. После успешного прохождения нотаризации в файле появляется дополнительный признак, который macOS идентифицирует, после чего признает программу безопасной и позволяет ее запускать без предупреждений.
«Исследователи безопасности обнаружили, что процедуру нотаризации можно обмануть, и программа запустится без предупреждений безопасности macOS. Компания Apple выпустила обновление безопасности, но считается, что уязвимостью уже несколько месяцев пользовались, прежде чем ее заметили исследователи», — рассказал эксперт.
«Ошибка была в механизме «syspolicyd», задача которого – оценка приложений перед их запуском. Злоумышленники могли разработать свое вредоносное ПО, чтобы обмануть операционную систему – чтобы приложение могло работать, даже если оно не прошло все проверки безопасности. Другими словами, киберпреступники могли бы обмануть систему, заставив ее поверить, что это легальное приложение, замаскировав его сценарий и обманом заставить Gatekeeper запустить его без проверки, когда пользователь дважды подтвердил загрузку», — поделился аналитик вредоносного ПО в Avast Владимир Залуд.
По его словам, существует несколько вариантов злоупотребления этой ошибкой: на устройстве могут быть установлены всевозможные вредоносные приложения, использующие эту уязвимость, что ставит под угрозу конфиденциальность пользователя и безопасность его устройства. Эксперт также отметил, что ошибкой будет думать, что Mac и iPhone не нуждаются в дополнительных расширенных уровнях защиты и посоветовал использовать антивирусное ПО для предотвращения мошенничеств и атак вредоносных программ и вирусов.
По сообщению сайта Газета.ru