Uchováva spoločnosť Apple pred antivírusovými firmami zásadné informácie o útokoch škodlivého softvéru? Jeden prominentný výskumník v oblasti bezpečnosti si myslí, že by to mohlo byť.
Patrick Wardle, o ktorého objavoch sme mnohokrát písali v Tom's Guide, minulý mesiac analyzoval nový kmeň malvéru pre počítače Mac s názvom Windshift. Všimol si, že spoločnosť Apple zrušila digitálny certifikát, ktorý umožňoval inštalácii škodlivého softvéru na počítače Mac. To je dobré.
Keď však Wardle skontroloval VirusTotal, online úložisko známeho škodlivého softvéru, Windshift mohli zaznamenať iba dva z približne 60 podivných antivírusových motorov na detekciu škodlivého softvéru. Žiadny z malwarových nástrojov nezaznamenal tri ďalšie varianty Windshift.
Pre Wardleho to mohlo znamenať iba jednu vec: Apple našiel malware bez toho, aby o tom povedal antivírusovým spoločnostiam. To je zlé, pretože každý, kto už bol infikovaný, sa to možno nikdy nedozvedel. V antivírusovom svete by ste mali tieto informácie zdieľať čo najskôr, aby ste udržali imunitu stáda.
"Znamená to, že Apple nezdieľa hodnotný malware/hrozby Intel s AV komunitou, čo bráni vytváraniu rozšírených AV podpisov, ktoré môžu chrániť koncových užívateľov ?!" Spýtal sa Wardle vo svojom príspevku na blogu. "Áno."
Zdá sa, že Windshift sa zameriava na konkrétnych jednotlivcov na Blízkom východe v rámci štátom sponzorovanej špionážnej kampane. Prvýkrát to odhalil výskumník DarkMatter Taha Karim na konferencii Hack in the Box GSEC v Singapure minulý rok v auguste.
Malvér infikuje počítače Mac zo škodlivých webových stránok vo viacstupňovom procese, ktorého posledným krokom, ako väčšina malvéru pre počítače Mac, je oklamať používateľa, aby nechal malware nainštalovať.
Aby bol tento podvod jednoduchší, Windshift sa predstavuje ako rôzne dokumenty balíka Microsoft Office pre Mac doplnené o pekné ikony balíka Office. Podrobná verzia Karim, na ktorú sa Wardle pôvodne pozeral, predstiera, že je skomprimovanou prezentáciou programu PowerPoint s názvom Meeting_Agenda.zip.
20. decembra Wardle hľadal tento súbor na serveri VirusTotal a našiel zhodu medzi miliónmi vzoriek podozrivého softvéru nahraných na web. Vzorka VirusTotal mala „hash“ alebo matematické zhrnutie svojho kódu, pomocou ktorého môžete malware identifikovať.
Wardle spustil hash prostredníctvom zbierky antivírusových malwarových nástrojov VirusTotal a zistil, že ho zistili iba motory Kaspersky a ZoneAlarm. Ostatní to nechali plynúť, to znamená, že o tom nevedeli.
Potom hľadal hash, ktoré boli podobné, a našiel ďalšie tri, ktoré sa prezentovali ako komprimované súbory programu Word. Neboli zistené žiadne antivírusové motory. (Dnes ich vďaka blogu Wardleho detekuje oveľa viac antivírusových nástrojov.)
Napriek tomu 20. decembra spoločnosť Apple už odvolala digitálny podpis potrebný na inštaláciu malvéru na počítače Mac pomocou predvolených nastavení zabezpečenia. Inými slovami, zdá sa, že Apple vedel o škodlivom softvéri skôr, ako to urobili antivírusové spoločnosti, ale nezdalo sa, že by to antivírusovým spoločnostiam povedal.
Priemernému používateľovi počítača sa to môže zdať málo, ale je to tak. Aby výrobcovia softvéru a antivírusové spoločnosti mohli správne brániť používateľov pred škodlivým softvérom, musia byť všetci na tej istej stránke. Je to štandardná prevádzková prax pre všetkých zúčastnených, aby zdieľali informácie čo najskôr - a Wardle naznačil, že Apple nehrá férovo.
Problém s detekciou škodlivého softvéru „zdôrazňuje, že tradičný AV zápasí s novým/APT škodlivým softvérom v systéme MacOS … ale aj v arogancii spoločnosti Apple,“ povedal Wardle pre Dan Goodina z Ars Technica. „Videli sme ich, ako to už urobili :( Je to skľučujúce a niekto ich musí na to zavolať.“
Tomov sprievodca požiadal spoločnosť Apple o vyjadrenie a tento príbeh aktualizujeme, keď dostaneme odpoveď.
- Na počítače Mac zaútočili severokórejskí hackeri: Čo vedieť
- Najpredávanejšia aplikácia pre Mac ukradne vašu históriu prehliadania
- Prečo telefóny Apple iPhone nepotrebujú antivírusový softvér