More

    O notário acidental: Apple aprova malware notório para rodar em Macs


    Aurich Lawson / Getty Images

    Quando uma proteção contra malware da Apple pode representar mais risco para o usuário do que nenhum? Quando ele certifica um cavalo de Tróia como seguro, embora se destaque como uma ferida no polegar, e represente uma das maiores ameaças na plataforma macOS.

    O mundo recebeu esta lição prática no fim de semana depois que a Apple deu seu aval às últimas amostras de “Shlayer”, o nome dado a um trojan que está entre os mais – senão a a maioria – peças prolíficas de malware para Mac por mais de dois anos. O selo de aprovação veio na forma de um mecanismo de reconhecimento de firma introduzido pela Apple no macOS Mojave para, como a Apple colocou, “dar aos usuários mais confiança” de que o aplicativo que eles instalam “foi verificado pela Apple em busca de componentes maliciosos”.

    Com o lançamento do macOS Catalina, o reconhecimento de firma se tornou um requisito para todos os aplicativos. A menos que seja instalado usando métodos não mencionados pela Apple (mais sobre isso mais tarde), um aplicativo não autenticado irá gerar o seguinte aviso que diz que “não pode ser aberto porque a Apple não pode verificar se há software malicioso”.

    Shlayer clássico … com uma grande diferença

    Na sexta, estudante universitária Peter H. Dantini encontrei aquela cerveja caseira[.]sh – uma imitação do site homebrew legítimo brew.sh – estava promovendo uma atualização falsa do Adobe Flash e alertando os usuários de que sua versão atual carecia das atualizações de segurança mais recentes.

    Foi uma campanha clássica do Shlayer semelhante a centenas ou milhares de anteriores, que também usavam atualizações de Flash falsas para infectar usuários com adware exceto por uma diferença fundamental: o trojan foi autenticado pela Apple. Patrick Wardle, que é pesquisador de segurança na empresa de gerenciamento corporativo macOS e iOS Jamf, disse acreditar que este é o primeiro malware a receber o “selo de aprovação” de reconhecimento de firma.

    Wardle notificou a Apple na sexta-feira sobre o arquivo autenticado erroneamente, e a empresa rapidamente revogou a certificação, um movimento que impediu o trojan de infectar Macs atualizados. No domingo, Wardle disse, ele descobriu que o site estava servindo a novas cargas maliciosas que foram, mais uma vez, autenticadas pela Apple.

    “Infelizmente, um sistema que promete confiança, mas não entrega, pode acabar colocando os usuários em mais risco”, escreveu Wardle em um post. “Como assim? Se os usuários de Mac aceitarem as reivindicações da Apple, provavelmente confiarão totalmente em todo e qualquer software autenticado. Isso é extremamente problemático, pois software malicioso conhecido (como OSX.Shlayer) já está (trivialmente?) Ganhando tal reconhecimento de firma! ”

    O provedor de antivírus Malwarebytes também opinou: “Infelizmente, está começando a parecer que o reconhecimento de firma pode significar menos segurança e mais teatro de segurança”.

    Em defesa de notarização

    Em um comunicado, os funcionários da Apple escreveram: “O software malicioso muda constantemente, e o sistema de reconhecimento de firma da Apple nos ajuda a manter o malware fora do Mac e nos permite responder rapidamente quando ele é descoberto. Ao saber desse adware, revogamos a variante identificada, desabilitamos a conta do desenvolvedor e revogamos os certificados associados. Agradecemos aos pesquisadores por sua ajuda em manter nossos usuários seguros. ”

    Em defesa da Apple, a empresa sempre deixou claro que o reconhecimento de firma é “um sistema automatizado que verifica seu software em busca de conteúdo malicioso, verifica se há problemas de assinatura de código e retorna os resultados para você rapidamente”. Como tal, a Apple nunca o apresentou como uma verificação de segurança abrangente.

    Outro ponto a favor da Apple: no momento em que Dantini descobriu o malware e o relatou a Wardle, a amostra não tinha detecções no Virus Total, o serviço de varredura de malware de propriedade da Alphabet que agrega resultados de mais de 60 provedores de antivírus. Além do mais, a Play Store do Google admite regularmente aplicativos maliciosos, embora seu serviço de segurança supostamente faça uma varredura em busca de atividades nefastas.

    E mesmo quando o reconhecimento de firma impede que um aplicativo seja instalado normalmente, não é tão difícil contornar o mecanismo. Conforme mostrado na captura de tela abaixo, cortesia de Malwarebytes, as versões não autenticadas do Shlayer há muito apresentam marcas com um fundo personalizado que os instrui a clicar com o botão direito em um arquivo de imagem de disco, em vez de clicar duas vezes como normal e, em seguida, selecionar abrir.

    Malwarebytes

    Com isso, o malware é instalado.

    Desdentado … e uma dor de usar

    Ao mesmo tempo, e conforme observado no ano passado por Andrew Cunningham, agora um revisor freelance da Ars, o reconhecimento de firma é um fardo tanto para usuários quanto para desenvolvedores. Presumivelmente, a Apple determinou que aumentasse as proteções de assinatura de código apresentadas anteriormente, que exigem que os desenvolvedores autentiquem seus aplicativos com um certificado criptográfico emitido pela Apple. Se o serviço tornou os usuários mais seguros, você pode ter bons motivos para dizer que o transtorno vale a pena. É mais difícil usar esse argumento se o novo recurso der aos usuários uma falsa sensação de segurança.

    A notarização parece especialmente inútil quando não consegue detectar essa família de malware em particular. Conforme relatado pela Kaspersky Lab em janeiro, o Shlayer foi a principal ameaça do macOS por cerca de dois anos e foi responsável por cerca de 30 por cento de todas as detecções no SO em 2019. O Shlayer também vai muito além do incômodo do adware. Por exemplo, depois de usar técnicas de click-jacking para induzir os usuários a instalar um certificado criptográfico autoassinado, o malware descriptografa e lê todo o tráfego HTTPS criptografado. Ele também coleta IDs de usuário.

    A bobagem da Apple é ainda mais difícil de entender quando se apaixona por arquivos como os encontrados na sexta-feira e novamente no domingo.

    “Era uma atualização falsa do Flash player … com o ícone da Adobe e tudo mais … que obviamente não era assinada pela Adobe”, disse Wardle em um bate-papo online. “Você teria pensado que é uma grande bandeira vermelha que a Apple bloquearia de qualquer forma, como, umm, qualquer coisa que se mascarar como atualização ‘Flash’ … sim, não, não autentique isso, pois quem se importa com o que faz (ou seja, que malware / adware é), obviamente. é falso / malicioso. ”

    Atualizado para adicionar o sexto ao último parágrafo.




    Artigos Recentes

    Alibaba disputa um pedaço do próspero mercado de EV da China

    Não faltam notícias hoje em dia sobre as gigantes da tecnologia da China se unirem às montadoras tradicionais. Empresas de Alibaba a...

    Este minúsculo SSD portátil de 480GB custa US $ 40 na Black Friday – economize US $ 110!

    O Digital Trends pode ganhar uma comissão quando você compra por meio de links em nosso site. Se você estiver comprando um novo telefone,...

    Tratando seu estresse com tecnologia de IA

    Ansiedade, estresse, pensamento excessivo e trauma são palavras comumente usadas para descrever pessoas que sofrem de transtornos mentais que surgem por sobrecarga de...

    Guia de presentes: 5 presentes de tecnologia sólida para ajudar a diminuir o estresse e aumentar o sono

    Bem-vindo ao Guia de Presentes de Natal 2020 do TechCrunch! Precisa de ajuda com ideias para presentes? Nós estamos aqui para...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui