Skip to main content

Security Bite эксклюзивно предоставлен вам Mosyle, единственная унифицированная платформа Apple. Все, что мы делаем, — это обеспечение готовности устройств Apple к работе и безопасности на предприятии. Наш уникальный комплексный подход к управлению и безопасности объединяет самые современные решения безопасности Apple для полностью автоматизированного усиления и соответствия требованиям, EDR нового поколения, Zero Trust на базе ИИ и эксклюзивное управление привилегиями с самым мощным и современным Apple MDM на рынке. Результатом является полностью автоматизированная унифицированная платформа Apple, которой в настоящее время доверяют более 45 000 организаций, чтобы сделать миллионы устройств Apple готовыми к работе без усилий и по доступной цене. Запросите РАСШИРЕННУЮ ПРОБНУЮ ВЕРСИЮ сегодня и поймите, почему Mosyle — это все, что вам нужно для работы с Apple.

На прошлой неделе Apple подтвердила, что пользователи macOS Sequoia больше не смогут использовать Control-click для отмены Gatekeeper для открытия программного обеспечения, которое не подписано или не заверено компанией. Это было небольшое изменение, которое, как я считаю, окажет значительное влияние. Это также дает нам возможность заглянуть в то, что может происходить за кулисами Apple, поскольку вредоносное ПО для Mac становится все более умным, а его количество достигает исторических максимумов.

Меня всегда удивляло, как легко любой неискушенный пользователь Jonny Appleseed мог обойти две лучшие функции безопасности Mac (Gatekeeper и XProtect) всего за два клика.

Обычно это происходит, когда пользователь пытается загрузить неподписанное программное обеспечение, например пиратское приложение. Когда они дважды щелкают, чтобы открыть его, macOS выдает сообщение об ошибке, в котором говорится: «[application.pkg] невозможно открыть, так как он от неизвестного разработчика». С этого момента пользователь может быстро вздохнуть и поискать в Google информацию о проблеме, а затем обнаружить, что ему просто нужно щелкнуть правой кнопкой мыши по пакету и нажать «Открыть».

Я понимаю, что это своего рода уловка-22, когда говорят, что «неискушенные» пользователи знают, как обойти macOS Gatekeeper и пакет XProtect, не говоря уже о том, чтобы найти и загрузить пиратское ПО. Однако что, если они думали, что устанавливают легальное приложение, и именно так оно им и указало открыть его?

Авторы вредоносных программ стали умнее, чем когда-либо. Одна из последних тенденций — клонирование настоящих приложений, часто приложений для повышения производительности, таких как Notion или Slack, и внедрение вредоносного ПО где-то в код. Затем авторы создают экраны установки, подобные приведенному ниже, предлагая пользователю щелкнуть правой кнопкой мыши и открыть вредоносное ПО, чтобы обойти Gatekeeper. Самое безумное, что иногда пользователи продолжают использовать эти приложения в течение довольно долгого времени и даже не знают, что их система была заражена. Для киберпреступников ключевым фактором является настойчивость.

Я бы не удивился, если бы моя 79-летняя бабушка смогла это сделать.
Изображение вредоносной программы Shlayer от Jamf.

Теперь в macOS Sequoia пользователям необходимо будет самостоятельно проверить данные безопасности приложения в Системных настройках > Конфиденциальность и безопасность, прежде чем ему будет разрешено работать. Замечательно, что Apple наконец-то предпринимает активные шаги, чтобы побудить пользователей проверять то, что они устанавливают.

Однако является ли это показателем того, насколько вредоносное ПО проникает на платформу? Возможно, но это также может быть шагом, чтобы побудить больше разработчиков отправлять приложения на нотариальное заверение.

Факты таковы: в 2023 году мы стали свидетелями 50%-ного увеличения новых семейств вредоносных программ для macOS по сравнению с прошлым годом. Кроме того, Патрик Уордл, основатель Objective-See, сообщил Moonlock Lab, что количество новых образцов вредоносных программ для macOS увеличилось примерно на 100% в 2023 году без каких-либо признаков замедления. А всего несколько месяцев назад Apple выпустила свое самое крупное обновление XProtect с 74 новыми правилами обнаружения Yara.

Несмотря на это, я однажды поднял этот вопрос перед сотрудником внутри компании, и он не вызвал особого интереса. Так что я рад, что кто-то изменил свое мнение, независимо от причины.

Более: Apple решает проблемы конфиденциальности, связанные с базой данных Центра уведомлений в macOS Sequoia