Skip to main content

Вредоносное ПО для Mac может легко обойти диспетчер фоновых задач Apple |  Крупный план клавиатуры MacBook

macOS имеет ряд встроенных инструментов для обнаружения вредоносных программ для Mac, а в прошлом году к средствам защиты был добавлен Диспетчер фоновых задач. Однако исследователь безопасности говорит, что это можно легко обойти, и что Apple не выполнила его рекомендации, чтобы исправить это.

Патрик Уордл представил свои выводы на хакерской конференции Defcon, приняв необычное решение сделать это, не уведомив Apple заранее…

Трехуровневая защита Apple от вредоносных программ для Mac

У Apple есть трехуровневая система защиты компьютеров Mac от вредоносных программ.

Во-первых, он стремится предотвратить установку вредоносных программ. Для этого он проверяет приложения в Mac App Store и использует Gatekeeper с нотариальным заверением, чтобы гарантировать, что все другие приложения подписаны признанным разработчиком.

Во-вторых, если вредоносное ПО проходит через этот уровень, оно использует XProtect для распознавания вредоносного ПО и блокировки его запуска.

macOS включает встроенную антивирусную технологию XProtect для обнаружения и удаления вредоносных программ на основе сигнатур. В системе используются сигнатуры YARA — инструмент для обнаружения вредоносных программ на основе сигнатур, который Apple регулярно обновляет. Apple отслеживает новые заражения и штаммы вредоносных программ и автоматически обновляет сигнатуры — независимо от системных обновлений — чтобы помочь защитить Mac от заражения вредоносными программами. XProtect автоматически обнаруживает и блокирует выполнение известных вредоносных программ.

В-третьих, даже если вредоносное ПО запустилось один раз, Apple стремится предотвратить его в будущем. Компания часто обновляет XProtect для поиска новых вредоносных программ. Кроме того, в прошлом году Apple представила диспетчер фоновых задач, который ищет наиболее опасную форму вредоносного ПО: сохраняющиеся приложения.

Диспетчер фоновых задач

Некоторые вредоносные программы запускаются один раз, например, для кражи личных данных, а затем завершают работу. Но самая опасная форма вредоносных программ сохраняется. Эта форма вредоносного ПО может отслеживать текущую активность пользователей, загружать новые элементы с сервера злоумышленника и многое другое.

Apple пытается обнаружить это, ища установку новых постоянных задач и уведомляя как пользователей, так и сторонние инструменты безопасности, работающие на Mac. Поскольку многие законные приложения создают постоянные задачи, вам не следует беспокоиться, если вы устанавливаете новое приложение из Mac App Store или доверенного разработчика и получаете это предупреждение.

Но если предупреждение появляется из ниоткуда, это признак того, что ваш Mac мог быть скомпрометирован.

Но это можно легко обойти

Исследователь безопасности Патрик Уордл в прошлом году уведомил Apple о ряде ошибок, которые он обнаружил в том, как это работает. Он кое-что знает о проблемах реализации этого типа защиты, поскольку ранее он создал свой собственный инструмент для выполнения той же работы.

Но он сказал Wired, что Apple не смогла решить более фундаментальные проблемы, которые он обсуждал с компанией.

Когда фоновый диспетчер задач впервые дебютировал, Уордл обнаружил еще несколько основных проблем с инструментом, которые приводили к сбою уведомлений о событиях сохранения. Он сообщил о них в Apple, и компания исправила ошибку. Но компания не выявила более глубоких проблем с инструментом.

«Мы ходили туда-сюда, и, в конце концов, они исправили эту проблему, но это было все равно, что наклеить скотч на самолет, когда он падает», — говорит Уордл. «Они не понимали, что эта функция требует много работы».

Обнаружены обходы фонового диспетчера задач

Обычно Уордл делился подробностями эксплойтов только после того, как Apple их исправила. Однако в данном случае он говорит, что компания из Купертино, похоже, не заинтересована в этом, и поэтому он решил поделиться на хакерской конференции Defcon обнаруженными им обходными путями.

Для одного из них требуется root-доступ к целевому Mac, а для двух других — нет.

Уордл также нашел два пути, которые не требуют корневого доступа для отключения уведомлений о сохранении, которые фоновый диспетчер задач должен отправлять пользователю и продуктам мониторинга безопасности. Один из этих эксплойтов использует ошибку в том, как система оповещения взаимодействует с ядром операционной системы компьютера, известным как ядро. Другой извлекает выгоду из возможности, которая позволяет пользователям, даже тем, у кого нет глубоких системных привилегий, переводить процессы в спящий режим. Уордл обнаружил, что этой возможностью можно манипулировать, чтобы прерывать постоянство уведомлений до того, как они попадут к пользователю.

По его словам, он выбрал этот курс действий, потому что в настоящее время диспетчер фоновых задач создает ложное ощущение безопасности как для пользователей, так и для компаний, занимающихся безопасностью, которые могут подумать, что этот аспект защиты от вредоносных программ для Mac уже существует.

Фото: Филипп Катценбергер/Unsplash