Pitääkö Apple tärkeitä tietoja haittaohjelmahyökkäyksistä piilossa virustorjuntayrityksiltä? Eräs merkittävä turvallisuustutkija luulee sen olevan mahdollista.
Patrick Wardle, jonka löydöistä olemme kirjoittaneet monta kertaa Tom's Guide -oppaassa, analysoi viime kuussa uutta Mac -haittaohjelmakantaa nimeltä Windshift. Hän huomasi, että Apple oli peruuttanut digitaalisen varmenteen, jonka avulla haittaohjelma asennettiin Mac -tietokoneisiin. Se on hyvä.
Mutta kun Wardle tarkisti VirusTotalin, joka on tunnettujen haittaohjelmien online-arkisto, vain kaksi 60-kertaisesta virustentorjuntaohjelmasta havaitsi Windshiftin. Yksikään haittaohjelmoottoreista ei havainnut kolmea muuta Windshift -versiota.
Wardlelle tämä voi tarkoittaa vain yhtä asiaa: Apple löysi haittaohjelman kertomatta siitä virustorjuntayrityksille. Se on huono, koska jokainen, joka on jo saanut tartunnan, ei ehkä ole koskaan saanut tietää. Virustentorjunta -maailmassa sinun on jaettava tällaiset tiedot mahdollisimman pian karjan koskemattomuuden ylläpitämiseksi.
"Tarkoittaako tämä sitä, että Apple ei jaa arvokasta haittaohjelmaa/uhka-inteliä AV-yhteisön kanssa ja estää luomasta laajoja AV-allekirjoituksia, jotka voivat suojata loppukäyttäjiä ?!" Wardle kysyi blogissaan. "Joo."
Windshift näyttää kohdistuvan tiettyihin Lähi-idän yksilöihin osana valtion rahoittamaa vakoilukampanjaa. DarkMatter -tutkija Taha Karim paljasti sen ensimmäisen kerran Hack in the Box GSEC -konferenssissa Singaporessa viime elokuussa.
Haittaohjelma tartuttaa Macit haitallisilta verkkosivustoilta monivaiheisessa prosessissa, jonka viimeinen vaihe, kuten useimmat Mac -haittaohjelmat, sisältää käyttäjän huijaamisen antaa haittaohjelman asentaa.
Tämän petoksen helpottamiseksi Windshift esittelee itsensä erilaisina Microsoft Office for Mac -asiakirjoina, joissa on kauniita Office -kuvakkeita. Karimin yksityiskohtainen versio, jota Wardle tarkasteli alun perin, teeskentelee olevansa pakattu PowerPoint -esitys nimeltä Meeting_Agenda.zip.
20. joulukuuta Wardle etsi tätä tiedostoa VirusTotalista ja löysi täsmäytyksen sivustoon ladattujen miljoonien epäilyttävien ohjelmistojen näytteiden joukosta. VirusTotal -näytteessä oli koodin "tiiviste" tai matemaattinen yhteenveto, jonka avulla voit tunnistaa haittaohjelman.
Wardle suoritti hajautuksen VirusTotalin virustentorjuntaohjelmien kokoelman läpi ja havaitsi, että vain Kaspersky- ja ZoneAlarm -moottorit havaitsivat sen. Loput antoivat sen mennä, eli he eivät tienneet siitä.
Sitten hän etsi samanlaisia hajautuksia ja löysi kolme muuta, jotka esittivät itsensä zip -muotoisina Word -tiedostoina. Mikään virustentorjuntaohjelma ei havainnut niitä. (Monet muut virustentorjuntaohjelmat tunnistavat ne tänään Wardlen blogikirjoituksen ansiosta.)
Kuitenkin 20. joulukuuta Apple oli jo peruuttanut digitaalisen allekirjoituksen, joka tarvitaan haittaohjelman asentamiseen Mac -tietokoneisiin käyttämällä oletusarvoisia suojausasetuksia. Toisin sanoen Apple näytti tietävän haittaohjelmasta ennen virustorjuntayrityksiä, mutta ei näyttänyt kertoneen virustorjuntayrityksille.
Tämä ei ehkä näytä suurelta tavalta keskivertokäyttäjälle, mutta sitä se on. Jotta ohjelmistovalmistajat ja virustentorjuntayritykset voivat puolustaa käyttäjiä oikein haittaohjelmilta, kaikkien on oltava samalla sivulla. Kaikkien osapuolten on normaali toimintatapana jakaa tietoja mahdollisimman pian - ja Wardle vihjasi, että Apple ei pelannut reilusti.
Haittaohjelmien havaitsemisongelma "korostaa, että perinteinen AV kamppailee uusien/APT-haittaohjelmien kanssa MacOS: ssa … mutta myös Applen humpuukia", Wardle kertoi Ars Technican Dan Goodinille. "Olemme nähneet heidän tekevän tämän ennenkin :( Se on masentavaa, ja jonkun on kutsuttava heidät siitä."
Tom's Guide on ottanut yhteyttä Appleen kommentoimaan, ja päivitämme tämän tarinan, kun saamme vastauksen.
- Pohjois -Korean hakkerit hyökkäsivät Mac -tietokoneisiin: Mitä tietää
- Myydyin Mac-sovellus varastaa selaushistoriasi
- Miksi Apple iPhone ei tarvitse virustorjuntaohjelmistoa