Um dos seus As ferramentas integradas de detecção de malware do Mac podem não estar funcionando tão bem quanto você pensa. Na conferência de hackers Defcon em Las Vegas, o antigo pesquisador de segurança do Mac, Patrick Wardle, apresentou descobertas hoje sobre vulnerabilidades no mecanismo de gerenciamento de tarefas em segundo plano do macOS da Apple, que podem ser exploradas para contornar e, portanto, derrotar a ferramenta de monitoramento recentemente adicionada da empresa.
Não existe um método infalível para capturar malware em computadores com precisão perfeita porque, em sua essência, os programas maliciosos são apenas software, como seu navegador da Web ou aplicativo de bate-papo. Pode ser difícil distinguir os programas legítimos dos transgressores. Portanto, fabricantes de sistemas operacionais como Microsoft e Apple, bem como empresas de segurança terceirizadas, estão sempre trabalhando para desenvolver novos mecanismos e ferramentas de detecção que possam detectar comportamentos de software potencialmente maliciosos de novas maneiras.
A ferramenta de gerenciamento de tarefas em segundo plano da Apple concentra-se em observar a “persistência” do software. O malware pode ser projetado para ser efêmero e operar apenas brevemente em um dispositivo ou até que o computador seja reiniciado. Mas também pode ser construído para se estabelecer mais profundamente e “persistir” em um alvo mesmo quando o computador é desligado e reiniciado. Muitos softwares legítimos precisam de persistência para que todos os seus aplicativos, dados e preferências apareçam como você os deixou sempre que ligar o dispositivo. Mas se o software estabelecer persistência inesperadamente ou do nada, pode ser um sinal de algo malicioso.
Com isso em mente, a Apple adicionou o Gerenciador de tarefas em segundo plano no macOS Ventura, lançado em outubro de 2022, para enviar notificações diretamente aos usuários e a qualquer ferramenta de segurança de terceiros em execução em um sistema, caso ocorra um “evento de persistência”. Dessa forma, se você souber que acabou de baixar e instalar um novo aplicativo, poderá desconsiderar a mensagem. Mas se não o fez, você pode investigar a possibilidade de ter sido comprometido.
“Deveria haver uma ferramenta (que o notificasse) quando algo se instala persistentemente, é bom que a Apple tenha adicionado, mas a implementação foi tão mal feita que qualquer malware um tanto sofisticado pode ignorar trivialmente o monitoramento”, diz Wardle sobre suas descobertas Defcon.
A Apple não pôde ser imediatamente contatada para comentar.
Como parte de sua Fundação Objective-See, que oferece ferramentas de segurança macOS gratuitas e de código aberto, Wardle ofereceu uma ferramenta semelhante de notificação de evento de persistência conhecida como BlocoBloco por anos. “Como escrevi ferramentas semelhantes, conheço os desafios que minhas ferramentas enfrentaram e me perguntei se as ferramentas e estruturas da Apple teriam os mesmos problemas para resolver — e têm”, diz ele. “O malware ainda pode persistir em um maneira que é completamente invisível.”
Quando o Gerenciador de tarefas em segundo plano estreou, Wardle descobriu alguns problemas mais básicos com a ferramenta que causavam falhas nas notificações de eventos de persistência. Ele relatado eles para a Apple, e a empresa corrigiu o erro. Mas a empresa não identificou problemas mais profundos com a ferramenta.
“Nós fomos e voltamos e, por fim, eles resolveram o problema, mas foi como colocar fita adesiva em um avião enquanto ele está caindo”, diz Wardle. “Eles não perceberam que o recurso precisava de muito trabalho.”
