seninkilerden biri Mac’in yerleşik kötü amaçlı yazılım algılama araçları, düşündüğünüz kadar iyi çalışmıyor olabilir. Uzun süredir Mac güvenlik araştırmacısı olan Patrick Wardle, Las Vegas’ta düzenlenen Defcon hacker konferansında bugün Apple’ın macOS Arka Plan Görev Yönetimi mekanizmasındaki güvenlik açıklarıyla ilgili bulguları sundu.
Bilgisayarlardaki kötü amaçlı yazılımları mükemmel bir doğrulukla yakalamanın kusursuz bir yöntemi yoktur çünkü kötü amaçlı programlar özünde web tarayıcınız veya sohbet uygulamanız gibi yalnızca yazılımlardır. Meşru programları ihlal edenlerden ayırmak zor olabilir. Bu nedenle, Microsoft ve Apple gibi işletim sistemi üreticileri ve üçüncü taraf güvenlik şirketleri, potansiyel olarak kötü amaçlı yazılım davranışını yeni yollarla tespit edebilen yeni algılama mekanizmaları ve araçları geliştirmek için her zaman çalışıyor.
Apple’ın Arka Plan Görev Yönetimi aracı, yazılımın “kalıcılığını” izlemeye odaklanır. Kötü amaçlı yazılımlar geçici olacak şekilde tasarlanabilir ve bir cihazda yalnızca kısa bir süre veya bilgisayar yeniden başlayana kadar çalışır. Ancak, bilgisayar kapatılıp yeniden başlatıldığında bile kendisini daha derine oturtmak ve bir hedef üzerinde “süreklilik” sağlamak üzere de inşa edilebilir. Pek çok meşru yazılımın kalıcı olması gerekir, bu nedenle tüm uygulamalarınız, verileriniz ve tercihleriniz, cihazınızı her açtığınızda onları bıraktığınız gibi görünür. Ancak yazılım beklenmedik bir şekilde veya birdenbire kalıcılık oluşturursa, bu kötü amaçlı bir şeyin işareti olabilir.
Bunu göz önünde bulunduran Apple, Ekim 2022’de kullanıma sunulan macOS Ventura’da Arka Plan Görev Yöneticisi’ni ekleyerek, bir “kalıcılık olayı” meydana geldiğinde hem doğrudan kullanıcılara hem de sistemde çalışan tüm üçüncü taraf güvenlik araçlarına bildirimler gönderdi. Bu şekilde, yeni bir uygulama indirip yüklediğinizi biliyorsanız, mesajı dikkate almayabilirsiniz. Ancak yapmadıysanız, ele geçirilmiş olma olasılığınızı araştırabilirsiniz.
“Bir araç olmalı [that notifies you] bir şey ısrarla kendi kendine yüklendiğinde, Apple’ın eklemesi iyi bir şey, ancak uygulama o kadar kötü yapıldı ki, biraz karmaşık olan herhangi bir kötü amaçlı yazılım, izlemeyi önemsiz bir şekilde atlayabilir, ”diyor Wardle, Defcon bulguları hakkında.
Apple’a yorum için hemen ulaşılamadı.
Ücretsiz ve açık kaynaklı macOS güvenlik araçları sunan Objective-See Vakfı’nın bir parçası olarak Wardle, yıllardır BlockBlock olarak bilinen benzer bir kalıcılık olay bildirim aracı sunuyor. “Benzer araçlar yazdığım için, araçlarımın karşılaştığı zorlukları biliyorum ve Apple’ın araçlarının ve çerçevelerinin üzerinde çalışılması gereken aynı sorunları yaşayıp yaşamayacağını merak ettim – ve oluyorlar” diyor. tamamen görünmez bir şekilde.”
Arka Plan Görev Yöneticisi ilk kullanıma sunulduğunda, Wardle araçla ilgili kalıcılık olay bildirimlerinin başarısız olmasına neden olan bazı daha temel sorunları keşfetti. Onları Apple’a bildirdi ve şirket hatayı düzeltti. Ancak şirket, araçla ilgili daha derin sorunları tespit etmedi.
Wardle, “İleri geri gittik ve sonunda bu sorunu çözdüler, ancak bu, düşen bir uçağa bant takmak gibiydi,” diyor. “Özelliğin çok fazla çalışma gerektirdiğinin farkında değillerdi.”