O macOS possui várias ferramentas integradas para detectar malware do Mac, com o Background Task Manager adicionado às defesas no ano passado. No entanto, um pesquisador de segurança diz que isso pode ser ignorado trivialmente e que a Apple falhou em seguir suas recomendações para corrigi-lo.
Patrick Wardle apresentou suas descobertas na conferência de hackers Defcon, tomando a decisão incomum de fazê-lo sem avisar a Apple com antecedência…
Proteção de três camadas da Apple contra malware do Mac
a apple tem um sistema de três camadas para proteger Macs contra malware.
Em primeiro lugar, procura impedir a instalação de malware. Ele faz isso verificando os aplicativos na Mac App Store e usando o Gatekeeper com Notarização para garantir que todos os outros aplicativos sejam assinados por um desenvolvedor reconhecido.
Em segundo lugar, se o malware passar por essa camada, ele usará o XProtect para reconhecer o malware e impedir sua execução.
O macOS inclui uma tecnologia antivírus integrada chamada XProtect para detecção e remoção de malware com base em assinatura. O sistema usa assinaturas YARA, uma ferramenta usada para conduzir a detecção de malware baseada em assinaturas, que a Apple atualiza regularmente. A Apple monitora novas infecções e cepas de malware e atualiza as assinaturas automaticamente — independentemente das atualizações do sistema — para ajudar a defender um Mac contra infecções por malware. O XProtect detecta e bloqueia automaticamente a execução de malware conhecido.
Em terceiro lugar, mesmo que o malware tenha sido executado uma vez, a Apple procura impedir que isso aconteça no futuro. A empresa atualiza frequentemente o XProtect para procurar por malware recém-identificado. Além disso, a Apple introduziu no ano passado um gerenciador de tarefas em segundo plano, que procura a forma mais perigosa de malware: aplicativos que persistem.
Gerenciador de tarefas em segundo plano
Alguns malwares são executados uma vez, por exemplo, para roubar dados pessoais, e depois são encerrados. Mas a forma mais perigosa de malware persiste. Essa forma de malware pode monitorar a atividade contínua do usuário, baixar novos elementos do servidor de um invasor e muito mais.
A Apple procura detectar isso procurando a instalação de novas tarefas persistentes e notificando os usuários e as ferramentas de segurança de terceiros em execução no Mac. Como muitos aplicativos legítimos criam tarefas persistentes, você não deve se preocupar se instalar um novo aplicativo da Mac App Store ou de um desenvolvedor confiável e receber este alerta.
Mas se um alerta surgir do nada, é sinal de que seu Mac pode ter sido comprometido.
Mas pode ser facilmente contornado
O pesquisador de segurança Patrick Wardle notificou no ano passado a Apple sobre uma série de falhas que descobriu na forma como isso funciona. Ele sabe uma ou duas coisas sobre os desafios de implementar esse tipo de proteção, pois anteriormente criou sua própria ferramenta para fazer o mesmo trabalho.
Mas ele disse Com fio que a Apple falhou em abordar as questões mais fundamentais que ele discutiu com a empresa.
Quando o Gerenciador de tarefas em segundo plano estreou, Wardle descobriu alguns problemas mais básicos com a ferramenta que causavam falhas nas notificações de eventos de persistência. Ele relatado eles para a Apple, e a empresa corrigiu o erro. Mas a empresa não identificou problemas mais profundos com a ferramenta.
“Nós fomos e voltamos e, por fim, eles resolveram o problema, mas foi como colocar fita adesiva em um avião enquanto ele está caindo”, diz Wardle. “Eles não perceberam que o recurso precisava de muito trabalho.”
Desvios do gerenciador de tarefas em segundo plano revelados
Normalmente, Wardle só compartilharia detalhes de exploits depois que a Apple os corrigisse. Nesse caso, porém, ele diz que a empresa de Cupertino parece não ter interesse em fazê-lo e, portanto, optou por compartilhar na conferência de hackers Defcon os desvios que descobriu.
Um deles requer acesso root ao Mac de destino, mas outros dois não.
Wardle também encontrou dois caminhos que não exigem acesso root para desabilitar as notificações de persistência que o Background Task Manager deve enviar ao usuário e aos produtos de monitoramento de segurança. Uma dessas explorações tira proveito de um bug na forma como o sistema de alerta se comunica com o núcleo do sistema operacional de um computador conhecido como kernel. O outro capitaliza uma capacidade que permite aos usuários, mesmo aqueles sem privilégios profundos no sistema, colocar os processos em hibernação. Wardle descobriu que esse recurso pode ser manipulado para interromper as notificações de persistência antes que elas cheguem ao usuário.
Ele escolheu esse curso de ação, diz ele, porque o Background Task Manager atualmente oferece uma falsa sensação de segurança para usuários e empresas de segurança, que podem pensar que esse aspecto de proteção contra malware do Mac já existe.
Foto: Philipp Katzenberger/Unsplash
FTC: Usamos links de afiliados automáticos para geração de renda. Mais.
