Skip to main content

Диспетчер фоновых задач в macOS Ventura не так эффективен, как мог бы быть, поскольку исследователь безопасности утверждает, что его можно легко обойти.

Apple представила Диспетчер фоновых задач как часть macOS Ventura в октябре 2022 года. Целью этого инструмента является предупреждение пользователей и других приложений о запуске нового постоянного объекта, что может помочь предотвратить вредоносное ПО.

Однако презентация Defcon показывает, что система полезна в теории, но ее легко обходить вредоносные программы. Патрик Уордл рассказал, как вредоносное приложение может обойти эту функцию, из-за чего пользователям будет сложнее обнаружить вредоносное ПО, которое продолжает работать в фоновом режиме.

«Должен быть инструмент [that notifies you] Когда что-то постоянно устанавливается, это хорошо, что Apple добавила, — сказал Уордл на Defcon, согласно Wired, — но реализация была сделана настолько плохо, что любое достаточно сложное вредоносное ПО может тривиально обойти мониторинг».

Предложив ранее BlockBlock в качестве инструмента уведомления о событиях сохранения, Уордл говорит, что знает проблемы такой функции, и задавался вопросом, «будут ли инструменты и платформы Apple иметь те же проблемы, которые нужно решать», как его версия. Оказывается, да, и, следовательно, «вредоносное ПО все еще может сохраняться совершенно невидимым образом».

Уведомление Apple

Уордл действительно обнаружил некоторые первоначальные основные проблемы, о которых сообщил в Apple, и они были устранены. Однако Apple, похоже, не стала углубляться в проблемы.

«Мы ходили туда-сюда, и, в конце концов, они исправили эту проблему, но это было все равно, что наклеить скотч на самолет, когда он разбился», — резюмировал Уордл. «Они не понимали, что эта функция требует много работы».

Среди обходных путей Уордл обнаружил два способа, для работы которых не требуется root-доступ, включая ошибку в способе взаимодействия системы с ядром. Другой основан на способности пользователей переводить процессы в спящий режим, что может быть использовано для прерывания уведомлений.

Третьей была та, которая требовала root-доступа для работы, но Уордл настаивает на том, что ошибка требует внимания, поскольку хакеры могут получить высокий уровень доступа и будут стремиться предотвратить появление уведомлений.

В отличие от своего более раннего предупреждения, Уордл решил не уведомлять Apple о презентации, так как ранее сообщал компании о проблемах в системе, которые в любом случае могли бы привести к более всеобъемлющим улучшениям. Отсутствие раскрытия информации также не является серьезной проблемой, поскольку фактически возвращает ситуацию к тому состоянию, в котором она была год назад, до ее введения в действие.

Уордл регулярно использует свой опыт для демонстрации проблем в macOS. Для Defcon 2022 он поделился проблемой в Zoom на macOS. м