96 подписчиков
В системе macOS Ventura появился дополнительный инструмент защиты пользователей от вредоносного ПО под названием Background Task Management. Он призван обнаружить появление на машине нежелательного софта, которое стремиться зацепиться за систему и пустить в него глубокие корни, и сообщить об этом пользователю. Проблема оказалась лишь в том, что на практике обойти эту защиту оказалось слишком просто.
На конференции Defcon в Лас-Вегасе давний исследователь безопасности Патрик Уордл представил результаты исследования уязвимостей в механизме управления фоновыми задачами macOS, которые могут быть использованы для обхода недавно добавленного компанией инструмента мониторинга.
Это правда, что не существует надежного метода, позволяющего с идеальной точностью отлавливать вредоносное ПО на компьютерах, поскольку по своей сути вредоносные программы — это просто программное обеспечение, как, например, ваш веб-браузер или мессенджер. Отличить легитимные программы от нарушителей бывает непросто. Поэтому производители операционных систем, такие как Microsoft и Apple, а также сторонние компании, занимающиеся вопросами безопасности, постоянно работают над созданием новых механизмов обнаружения, способных по-новому распознавать поведение потенциально вредоносных программ.
Инструмент Apple под названием Background Task Management (Управление фоновыми задачами) нацелен на отслеживание "живучести" или постоянства программ. Вредоносные программы могут быть эфемерными и работать на устройстве лишь короткое время или до перезагрузки компьютера. Но может быть и так, что вредоносная программа закрепляется на устройстве более глубоко и "сохраняется" на нем даже при выключении и перезагрузке компьютера. Многие легитимные программы нуждаются в таком постоянстве, чтобы все ваши приложения, данные и настройки отображались в том виде, в котором вы их оставили, при каждом включении устройства. Но если программы устанавливают режим постоянства неожиданно или внезапно, это может быть признаком вредоносного ПО.
Учитывая это, компания Apple добавила в диспетчер фоновых задач macOS Ventura, запущенной в октябре 2022 года, функцию отправки уведомлений как непосредственно пользователям, так и сторонним средствам безопасности, работающим в системе, при возникновении "события персистенции". Таким образом, если вы знаете, что только что загрузили и установили новое приложение, вы можете проигнорировать сообщение. Если же это не так, то можно проверить возможность взлома.
"Должен быть инструмент, [который уведомляет вас], когда что-то установилось на постоянной основе, это хорошая вещь для Apple, но реализация была сделана настолько плохо, что любая несколько изощренная вредоносная программа может тривиально обойти мониторинг", — говорит Уордл о своих выводах, сделанных на Defcon.
В рамках своей организации Objective-See Foundation, предлагающей бесплатные средства обеспечения безопасности macOS с открытым исходным кодом, Уордл уже несколько лет предлагает аналогичный инструмент уведомления о событиях персистентности, известный как BlockBlock.
"Поскольку я писал аналогичные инструменты, я знаю, с какими проблемами сталкивались мои инструменты, и мне стало интересно, будут ли инструменты и фреймворки Apple сталкиваться с теми же проблемами — и они столкнулись", — говорит он. — "Вредоносное ПО по-прежнему может существовать совершенно незаметно".
Когда Background Task Manager только появился, Уордл обнаружил в нем несколько более серьезных проблем, которые приводили к сбоям в работе уведомлений о событиях персистенции. Он сообщил о них в Apple, и компания исправила ошибку. Однако компания не выявила более глубоких проблем с инструментом.
[Продолжение ниже]
3 минуты
15 августа 2023