Уязвимость в MacOS позволила злоумышленникам устанавливать вредоносную рекламную программу

В течение многих лет macOS считалась системой, наиболее защищенной от заражения вредоносным ПО, но недавно была обнаружена уязвимость операционной системы, которую хакеры использовали для обхода всех средств защиты системы Apple.

Исследователь безопасности Седрик Оуэнс обнаружил эту ошибку в марте 2021 года при оценке механизма Apple Gatekeeper - позволяющий разработчикам запускать свое программное обеспечение на компьютерах Mac только после регистрации в Apple и уплаты комиссии. Более того, компания требует, чтобы все приложения проходили автоматизированный процесс проверки для дальнейшей защиты от вредоносного программного обеспечения.

К сожалению, Оуэнс обнаружил логическую ошибку в самой macOS, а не в системах защиты. Ошибка позволила злоумышленникам разработать вредоносное ПО, способное заставить операционную систему запустить свое вредоносное ПО независимо от того, прошли ли они проверки безопасности Apple.

Оуэнс обнаружил, что ошибка работает, используя предположение Apple относительно всех приложений, якобы включая стандартный файл метаданных под названием «info.plist». Вскоре он понял, что может легко создавать вредоносное ПО, которое работает как простой сценарий, избегая, таким образом, нескольких уровней защиты, запускающих Gatekeeper от Apple, и позволяя вредоносному программному обеспечению оставаться незамеченным. Фактически, он обнаружил, что этот вредоносный код может работать так незаметно, что macOS даже не запрашивает у пользователя разрешение на загрузку приложения из Интернета.

Дальнейший анализ показал, что macOS действительно проверяет, несет ли вред новое приложение. Однако, если система обнаруживает, что комплект программного обеспечения не включает файл «info.plist», программа проходит уровни защиты. Как только исследователи подтвердили ошибку в Apple, они узнали, что компания Jamf, специализирующаяся на управлении устройствами Apple, обнаружило вредоносное рекламного ПО Shlayer установленное через эту уязвимость.

С появлением Gatekeeper в феврале 2020 года киберпреступники столкнулись с серьезным препятствием из-за значительного сокращения числа пользователей, подвергающихся риску, благодаря усиленной защите Apple. Однако хакерам, разработавшим Shlayer, удалось обманом убедить Apple о безопасности вредоносного ПО. Используя этот метод, хакерам даже не нужно беспокоиться о том, что macOS в первую очередь уведомит пользователей о новом приложении.

Компания Apple не заставила себя долго ждать и исправила ошибку в версии macOS Big Sur 11.3. Кроме того, компания обновила свой инструмент системного мониторинга XProtect, чтобы выявлять и уведомлять пользователей о любом программном обеспечении, которое может использовать эту уязвимость.