Holder Apple vigtige oplysninger om malware -angreb skjult for antivirusfirmaer? En fremtrædende sikkerhedsforsker mener, at det kan være.
Patrick Wardle, om hvis opdagelser vi har skrevet mange gange på Tom's Guide, analyserede i sidste måned en ny stamme af Mac -malware kaldet Windshift. Han bemærkede, at Apple havde tilbagekaldt det digitale certifikat, der lod malware installere på Mac'er. Det er godt.
Men da Wardle tjekkede VirusTotal, et online lager med kendt malware, kunne kun to af nogle 60 forskellige antivirus-malware-detektionsmotorer få øje på Windshift. Ingen af malware -motorerne opdagede tre andre Windshift -varianter.
For Wardle kunne dette kun betyde én ting: Apple fandt malware uden at fortælle antivirusvirksomheder om det. Det er dårligt, for alle, der allerede var inficeret, ville måske aldrig have fundet ud af det. I antivirusverdenen skal du dele sådanne oplysninger ASAP for at bevare besætningens immunitet.
"Betyder det, at Apple ikke deler værdifuld malware/trussel-intel med AV-community, hvilket forhindrer oprettelse af udbredte AV-signaturer, der kan beskytte slutbrugere ?!" Spurgte Wardle i sit blogindlæg. "Ja."
Vindskift synes at målrette mod bestemte personer i Mellemøsten som en del af en statsstøttet spionage-kampagne. Det blev først afsløret af DarkMatter -forsker Taha Karim på Hack in the Box GSEC -konferencen i Singapore i august sidste år.
Malwaren inficerer Mac'er fra ondsindede websteder i en flertrinsproces, hvis sidste trin, ligesom de fleste Mac -malware, involverer at narre brugeren til at lade malware installere.
For at gøre dette bedrag lettere præsenterer Windshift sig som forskellige Microsoft Office til Mac -dokumenter, komplet med smukke Office -ikoner. Den version Karim detaljerede, og som Wardle oprindeligt kiggede på, foregiver at være en komprimeret PowerPoint -præsentation kaldet Meeting_Agenda.zip.
Den 20. december søgte Wardle efter den fil på VirusTotal og fandt et match mellem de millioner af prøver af mistænkelig software, der blev uploadet til webstedet. VirusTotal -prøven havde en "hash" eller en matematisk oversigt over dens kode, som du kan identificere malware.
Wardle kørte hash gennem VirusTotals samling af antivirus -malware -motorer og fandt ud af, at det kun var Kaspersky- og ZoneAlarm -motorerne, der fandt det. Resten lod det gå, hvilket betyder, at de ikke vidste om det.
Derefter søgte han efter hash, der lignede hinanden, og fandt yderligere tre, der præsenterede sig som zippede Word -filer. Ingen antivirusmotorer registrerede dem. (Mange flere antivirusmotorer registrerer dem i dag takket være Wardles blogindlæg.)
Men den 20. december havde Apple allerede tilbagekaldt den digitale signatur, der kræves for at malware kan installeres på Mac'er ved hjælp af standardsikkerhedsindstillinger. Med andre ord syntes Apple at have kendt til malware før antivirusvirksomhederne gjorde det, men syntes ikke at have fortalt antivirusvirksomhederne.
Dette virker måske ikke som en stor ting for den gennemsnitlige computerbruger, men det er det. For at softwareproducenter og antivirusvirksomheder korrekt kan forsvare brugere mod malware, skal alle være på samme side. Det er standard driftspraksis for alle involverede at dele oplysninger hurtigst muligt - og Wardle antydede, at Apple ikke spillede fair.
Malware-opdagelsesproblemet "fremhæver, at traditionel AV kæmper med ny/APT-malware på macOS … men også Apples hybris," fortalte Wardle til Ars Technicas Dan Goodin. "Vi har set dem gøre dette før :( Det er nedslående, og nogen er nødt til at kalde dem ud for det."
Tom's Guide har kontaktet Apple for at få kommentarer, og vi opdaterer denne historie, når vi modtager et svar.
- Mac'er angrebet af nordkoreanske hackere: Hvad skal man vide
- Bedst sælgende Mac-app stjæler din browserhistorik
- Hvorfor Apple iPhones ikke har brug for antivirussoftware