macOS 有许多内置工具可以检测 Mac 恶意软件,去年还添加了后台任务管理器。然而,一位安全研究人员表示,这个问题很容易被绕过,而且苹果没有按照他的建议采取行动来解决这个问题。
帕特里克·沃德尔 (Patrick Wardle) 在 Defcon 黑客大会上展示了他的发现,在没有提前向苹果提供建议的情况下做出了不寻常的决定……
Apple 针对 Mac 恶意软件的三层防护
Apple 有一个三层系统来保护 Mac 免受恶意软件的侵害。
首先,它旨在防止恶意软件的安装。它通过审查 Mac App Store 中的应用程序并使用具有公证功能的 防火墙 确保所有其他应用程序均由公认的开发人员签名来实现此目的。
其次,如果恶意软件通过这一层,它会使用 XProtect 识别恶意软件并阻止其运行。
macOS 包含名为XProtect 的内置防病毒技术,用于基于签名的恶意软件检测和删除。该系统使用 YARA 签名,这是一种用于进行基于签名的恶意软件检测的工具,Apple 会定期更新该工具。Apple 会监控新的恶意软件感染和病毒株,并自动更新签名(独立于系统更新),以帮助保护 Mac 免受恶意软件感染。XProtect 自动检测并阻止已知恶意软件的执行。
第三,即使恶意软件已经运行过一次,苹果也会尽力阻止它在未来再次运行。该公司经常更新 XProtect 以查找新识别的恶意软件。此外,苹果去年推出了后台任务管理器,它可以查找最危险的恶意软件形式:持续存在的应用程序。
后台任务管理器
有些恶意软件会执行一次,例如窃取个人数据,然后就会退出。但最危险的恶意软件形式仍然存在。这种形式的恶意软件可以监视正在进行的用户活动,从攻击者的服务器下载新元素等等。
Apple 试图通过寻找新的持久任务的安装并通知用户和 Mac 上运行的第三方安全工具来检测这一点。由于许多合法应用程序都会创建持久任务,因此如果您从 Mac App Store 或受信任的开发人员安装新应用程序并收到此警报,您不必担心。
但如果突然出现警报,则表明您的 Mac 可能已受到威胁。
但很容易被绕过
安全研究员帕特里克·沃德尔(Patrick Wardle)去年向苹果公司通报了他在其工作方式中发现的一些缺陷。他对实施此类保护的挑战略知一二,因为他之前创建了自己的工具来完成相同的工作。
但他告诉《连线》杂志,苹果未能解决他与该公司讨论的更根本的问题。
当后台任务管理器首次推出时,Wardle 发现了该工具的一些更基本的问题,导致持久性事件通知失败。他向苹果报告了这些问题,该公司修复了错误。但该公司并未发现该工具存在更深层次的问题。
“我们反复讨论,最终他们解决了这个问题,但这就像在飞机坠毁时在飞机上贴了一些胶带一样,”沃德尔说。“他们没有意识到该功能需要大量工作。”
后台任务管理器绕过揭露
通常情况下,沃德尔只会在苹果修复漏洞后才会分享漏洞的详细信息。然而,在这种情况下,他表示苹果总部公司似乎没有兴趣这样做,因此他选择在 Defcon 黑客大会上分享他发现的绕过方法。
其中一台需要目标 Mac 的 root 访问权限,但另外两台则不需要。
Wardle 还发现了两条不需要 root 访问权限即可禁用后台任务管理器应发送给用户和安全监控产品的持久性通知的路径。其中一种漏洞利用了警报系统与计算机操作系统核心(称为内核)通信方式中的错误。另一种利用允许用户(即使是没有深层系统权限的用户)将进程置于睡眠状态的功能。Wardle 发现,可以操纵此功能来中断持久性通知,然后再将其发送给用户。
他说,他之所以选择这种做法,是因为后台任务管理器目前为用户和安全公司提供了一种错误的安全感,他们可能认为防范 Mac 恶意软件的这一方面已经到位。
照片:Philipp Katzenberger / Unsplash
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)