Holder Apple viktig informasjon om angrep mot skadelig programvare skjult for antivirusfirmaer? En fremtredende sikkerhetsforsker tror det kan være det.
Patrick Wardle, hvis oppdagelser vi har skrevet mange ganger i Tom's Guide, analyserte forrige måned en ny stamme av Mac -skadelig programvare kalt Windshift. Han la merke til at Apple hadde tilbakekalt det digitale sertifikatet som lot malware installere på Mac -er. Det er bra.
Men da Wardle sjekket VirusTotal, et online depot av kjent skadelig programvare, kunne bare to av rundt 60 forskjellige antivirusprogrammer for deteksjon av malware oppdage Windshift. Ingen av malware -motorene oppdaget tre andre Windshift -varianter.
For Wardle kan dette bare bety én ting: Apple fant skadelig programvare uten å fortelle antivirusbedrifter om det. Det er ille, fordi alle som allerede var smittet kanskje aldri har funnet ut det. I antivirusverdenen skal du dele slik informasjon ASAP for å opprettholde flokkens immunitet.
"Betyr dette at Apple ikke deler verdifull malware/trussel-intel med AV-fellesskap, og forhindrer opprettelse av utbredte AV-signaturer som kan beskytte sluttbrukere ?!" Spurte Wardle i blogginnlegget sitt. "Ja."
Vindskift ser ut til å målrette mot bestemte individer i Midtøsten som en del av en statssponsert spionasje-kampanje. Det ble først avslørt av DarkMatter -forsker Taha Karim på Hack in the Box GSEC -konferansen i Singapore i august i fjor.
Skadelig programvare infiserer Mac -er fra ondsinnede nettsteder i en flertrinnsprosess, hvor det siste trinnet, som de fleste Mac -malware, innebærer å lure brukeren til å la skadelig programvare installeres.
For å gjøre dette bedrag lettere, presenterer Windshift seg som forskjellige Microsoft Office for Mac -dokumenter, komplett med vakre Office -ikoner. Versjonen Karim beskrev, og som Wardle først så på, later som om den er en komprimert PowerPoint -presentasjon kalt Meeting_Agenda.zip.
20. desember søkte Wardle etter den filen på VirusTotal og fant en treff blant millioner av prøver av mistenkelig programvare lastet opp til nettstedet. VirusTotal -prøven hadde en "hash" eller en matematisk oppsummering av koden, slik at du kan identifisere skadelig programvare.
Wardle kjørte hasj gjennom VirusTotals samling av antivirusprogrammer for skadelig programvare og fant at bare Kaspersky- og ZoneAlarm -motorene oppdaget det. Resten lot det gå, noe som betyr at de ikke visste om det.
Deretter søkte han etter hashes som var like og fant tre til som presenterte seg som zip -filer med Word. Ingen antivirusmotorer oppdaget dem. (Mange flere antivirusmotorer oppdager dem i dag, takket være Wardles blogginnlegg.)
Den 20. desember hadde Apple imidlertid allerede opphevet den digitale signaturen som kreves for at skadelig programvare skal installeres på Mac -maskiner ved hjelp av standard sikkerhetsinnstillinger. Med andre ord så det ut til at Apple visste om skadelig programvare før antivirus -selskapene gjorde det, men det så ikke ut til å ha fortalt antivirus -selskapene.
Dette kan ikke virke som en stor avtale for den gjennomsnittlige datamaskinbrukeren, men det er det. For at programvareprodusenter og antivirusbedrifter skal kunne beskytte brukere på riktig måte mot skadelig programvare, må alle være på samme side. Det er standard driftspraksis for alle involverte å dele informasjon så snart som mulig - og Wardle antydet at Apple ikke spilte rettferdig.
Problemet med å oppdage skadelig programvare "fremhever at tradisjonell AV sliter med ny/APT-skadelig programvare på macOS … men også Apples hybris," sa Wardle til Ars Technica's Dan Goodin. "Vi har sett dem gjøre dette før :( Det er nedslående, og noen må ringe dem til det."
Tom's Guide har kontaktet Apple for kommentar, og vi vil oppdatere denne historien når vi mottar et svar.
- Mac angrepet av nordkoreanske hackere: Hva du skal vite
- Bestselgende Mac-app stjeler nettleserhistorikken din
- Hvorfor Apple iPhones ikke trenger antivirusprogramvare