BIZIT 11 - prvi dan

Apple alatku za označavanje malvera je previše lako zaobići

Jedan od ugrađenih alata za otkrivanje zlonamernog softvera na vašem Mac-u možda neće raditi tako dobro kao što mislite.

PCPress.rs Image

Task Manager u pozadini može potencijalno da propusti zlonamerni softver na vašem računaru

Na Defcon hakerskoj konferenciji u Las Vegasu, dugogodišnji istraživač Mac bezbednosti Patrik Vardle je predstavio nalaze o ranjivostima u Apple-ovom mehanizmu Task Management u pozadini macOS-a, koji bi se mogao iskoristiti da se zaobiđe i, stoga, porazi nedavno dodani alat za praćenje kompanije. Ne postoji siguran metod za hvatanje zlonamernog softvera na računarima sa savršenom tačnošću jer su, u suštini, zlonamerni programi samo softver, poput vašeg veb browsera ili aplikacije za čet. Može biti teško razlikovati legitimne programe od prestupnika. Dakle, proizvođači operativnih sistema kao što su Microsoft i Apple, kao i bezbednosne kompanije trećih strana, uvek rade na razvoju novih mehanizama i alata za otkrivanje koji mogu da uoče potencijalno zlonamerno ponašanje softvera na nove načine. Apple-ov Task Management alat u pozadini fokusira se na praćenje „upornosti“ softvera. Zlonamerni softver može biti dizajniran tako da bude efemeran i da radi samo kratko na uređaju ili dok se računar ponovo ne pokrene. Ali takođe može da se napravi da se dublje uspostavi i „istraje“ na meti čak i kada se računar isključi i ponovo pokrene. Mnogo legitimnog softvera zahteva upornost tako da će se sve vaše aplikacije i podaci i podešavanja prikazivati onako kako ste ih ostavili svaki put kada uključite uređaj. Ali ako softver neočekivano ili iz vedra neba uspostavi postojanost, to može biti znak nečeg zlonamernog. Imajući ovo na umu, Apple je dodao Background Task Manager u macOS Ventura, koji je lansiran u oktobru 2022. godine, za slanje obaveštenja direktno korisnicima i svim bezbednosnim alatima treće strane koji rade na sistemu ako dođe do „događaja postojanosti“. Na ovaj način, ako znate da ste upravo preuzeli i instalirali novu aplikaciju, možete zanemariti poruku. Ali ako niste, možete istražiti mogućnost da ste kompromitovani. „Trebalo bi da postoji alatka [koja vas obaveštava] kada se nešto uporno instalira, dobro je što je Apple dodao, ali implementacija je urađena tako loše da svaki malver koji je donekle sofisticiran može trivijalno da zaobiđe nadgledanje“, kaže Vardl o njegovi nalazi Defcona.

Pročitajte i:  Apple testira aplikaciju za monitoring nivoa šećera u krvi

Kao deo svoje Fondacije Objective-See, koja nudi besplatne i macOS bezbednosne alate otvorenog koda, Vordl je godinama nudio sličan alat za obaveštavanje o događajima upornosti poznat kao BlockBlock. „Pošto sam napisao slične alate, znam sa kakvim izazovima su se moji alati suočili, i pitao sam se da li bi Appleovi alati i okviri imali iste probleme za rešavanje – a imaju“, kaže on. „Zlonamerni softver i dalje može opstati u nekoj situaciji. način koji je potpuno nevidljiv.”

Kada je Background Task Manager prvi put debitovao, Vordl je otkrio još neke osnovne probleme sa alatkom koji su doveli do neuspeha obaveštenja o događajima upornosti. Prijavio ih je Apple-u, a kompanija je ispravila grešku. Ali kompanija nije identifikovala dublje probleme sa alatom. „Išli smo napred-nazad, i na kraju su rešili taj problem, ali bilo je kao da stavite traku na avion dok se ruši“, kaže Vordl. “Nisu shvatili da je za ovu funkciju potrebno mnogo posla.” Jedan od zaobilaženja koje je Vardle predstavio u subotu zahteva root pristup uređaju cilja, što znači da napadači moraju da imaju potpunu kontrolu pre nego što mogu da spreče korisnike da primaju upozorenja o postojanosti. Grešku vezana za ovaj potencijalni napad je važno zakrpiti jer hakeri ponekad mogu da dobiju ovaj nivo pristupa cilju i mogu biti motivisani da zaustave obaveštenja kako bi mogli da instaliraju onoliko malvera koliko žele na sistem. Više zabrinjava to što je Vardle takođe pronašao dve putanje koje ne zahtevaju root pristup da bi se onemogućila obaveštenja o postojanosti koja bi Background Task Manager trebalo da šalje korisniku i proizvodima za nadzor bezbednosti. Jedan od ovih eksploatacija koristi prednost greške u načinu na koji sistem za upozorenje komunicira sa jezgrom operativnog sistema računara poznatim kao kernel. Drugi koristi mogućnost koja omogućava korisnicima, čak i onima bez dubokih sistemskih privilegija, da uspavaju procese. Vordl je otkrio da se ovom sposobnošću može manipulisati da poremeti obaveštenja o postojanosti pre nego što dođu do korisnika.

Pročitajte i:  EU traži od Apple da prekine geoblokiranje na App Store

Vordl kaže da je odlučio da objavi ove greške u Defcon-u, a da prethodno nije obavestio Apple jer je već obavestio kompaniju o nedostacima u Background Task Manager-u koji su je mogli navesti da sveobuhvatnije poboljša ukupni kvalitet alata. On takođe dodaje da zaobilaženje ovog nadgledanja jednostavno vraća stanje macOS bezbednosti na ono što je bilo pre godinu dana, pre nego što je ova funkcija debitovala. Ali on napominje da je problematično kada Apple izdaje alate za praćenje koji izgledaju prenagljeno ili im je potrebno više testiranja, jer to može dati korisnicima i proizvođačima bezbednosti lažan osećaj sigurnosti.

Izvor: Arstechnica

Facebook komentari:
Računari i Galaksija
Tagovi: ,