האם אפל שומרת מידע חיוני על התקפות תוכנות זדוניות מוסתרות מחברות אנטי וירוס? חוקר אבטחה בולט חושב שזה יכול להיות.
פטריק וורדל, שעל תגליותיו כתבנו פעמים רבות במדריך של טום, ניתח בחודש שעבר זן חדש של תוכנות זדוניות של Mac בשם Windshift. הוא הבחין שאפל ביטלה את האישור הדיגיטלי המאפשר לתוכנה זדונית להתקין במחשבי Mac. זה טוב.
אבל כאשר וורדל בדק את VirusTotal, מאגר מקוון של תוכנות זדוניות ידועות, רק שניים מתוך כ -60 מנועי זיהוי תוכנות זדוניות של אנטי-וירוס יכולים לזהות Windshift. אף אחד ממנועי התוכנה הזדונית לא הבחין בשלוש גרסאות אחרות של Windshift.
עבור וורדל, זה יכול להיות רק דבר אחד: אפל מצאה תוכנות זדוניות מבלי לספר על כך לחברות אנטי -וירוס. זה רע, כי מי שכבר נדבק אולי מעולם לא היה מגלה זאת. בעולם האנטי וירוס, אתה אמור לשתף מידע כזה בהקדם האפשרי כדי לשמור על חסינות העדר.
"האם זה אומר שאפל לא משתפת תוכנות זדוניות/איום-אינטרל יקרות עם קהילת AV, ומונעת יצירת חתימות AV נרחבות שיכולות להגן על משתמשי הקצה ?!" שאל וורדל בפרסום הבלוג שלו. "כן."
נראה כי החלפת הרוח מכוונת לאנשים ספציפיים במזרח התיכון כחלק ממסע ריגול בחסות המדינה. זה נחשף לראשונה על ידי חוקרת DarkMatter, טאהה קארים, בכנס Hack in the Box GSEC בסינגפור באוגוסט האחרון.
התוכנה הזדונית מדביקה מחשבי מקינטוש מאתרים זדוניים בתהליך רב שלבי, כאשר השלב האחרון שלו, כמו רוב תוכנות זדוניות של Mac, כרוך בהטיית המשתמש לאפשר להתקנת תוכנה זדונית.
כדי להקל על הטעיה זו, Windshift מציגה עצמה כמסמכי Microsoft Office for Mac שונים, עם סמלים יפים של Office. הגרסה שפירט קארים, ושהורדל בהתחלה הסתכל עליה, מתיימרת להיות מצגת PowerPoint דחוסה בשם Meeting_Agenda.zip.
ב- 20 בדצמבר, וורדל חיפש את הקובץ הזה ב- VirusTotal ומצא התאמה בין מיליוני הדגימות של תוכנות חשודות שהועלו לאתר. במדגם VirusTotal היה "חשיש" או סיכום מתמטי של הקוד שלו, שבאמצעותו תוכל לזהות את התוכנה הזדונית.
וורדל הפעיל את החשיש באמצעות אוסף מנועי האנטי וירוס של VirusTotal וגילה שרק מנועי קספרסקי ו- ZoneAlarm זיהו אותו. השאר הניחו לזה לעבור, כלומר לא ידעו על כך.
לאחר מכן הוא חיפש גרסאות דומות ומצא עוד שלוש שהציגו את עצמן כקובצי וורד מכווצים. אף מנועי אנטי וירוס לא זיהו את אלה. (הרבה יותר מנועי אנטי וירוס מזהים אותם היום, הודות לפרסום בבלוג של וורדל.)
עם זאת, ב -20 בדצמבר, אפל כבר ביטלה את החתימה הדיגיטלית הדרושה להתקנת התוכנה הזדונית במחשבי Mac באמצעות הגדרות אבטחה המוגדרות כברירת מחדל. במילים אחרות, נראה שאפל ידעה על תוכנות זדוניות לפני שידעו חברות האנטי -וירוס, אך לא נראה כי סיפרה לחברות האנטי -וירוס.
זה אולי לא נראה כמו עניין גדול למשתמש המחשב הממוצע, אבל זה כן. על מנת שיצרניות תוכנה וחברות אנטי -וירוס יגינו כראוי על משתמשים מפני תוכנות זדוניות, כולם צריכים להיות באותו דף. מנהג ההפעלה הסטנדרטי הוא שכל המעורבים משתפים מידע בהקדם האפשרי - ורדל רמז שאפל לא משחקת הוגן.
הבעיה לזיהוי תוכנות זדוניות "מדגישה כי AV המסורתית נאבקת בתוכנות זדוניות חדשות/APT ב- macOS … אך גם בהיבריס של אפל", אמר וורדל לדן גודין של Ars Technica. "ראינו אותם עושים את זה בעבר :( זה מייאש, ומישהו צריך לקרוא להם על זה."
מדריך טום פנה לאפל להערה, ואנו נעדכן את הסיפור כאשר נקבל תגובה.
- מחשבי מק שהותקפו על ידי האקרים מצפון קוריאה: מה לדעת
- אפליקציית Mac הנמכרת ביותר גונבת את היסטוריית הגלישה שלך
- מדוע מכשירי אפל אינם זקוקים לתוכנת אנטי וירוס
