Buzz
Trong suốt nhiều thập kỷ, người dùng Mac ít phải lo lắng hơn về phần mềm độc hại so với đối tác sử dụng Windows của họ, nhưng trong vài năm qua, điều đó đã bắt đầu thay đổi. Trong một nỗ lực để ngăn chặn các mối đe dọa ngày càng tăng như adware và ransomware, vào tháng 2, Apple bắt đầu 'ký duyệt' tất cả các ứng dụng macOS, một quá trình duyệt xét được thiết kế để loại bỏ các ứng dụng bất hợp pháp hoặc độc hại. Ngay cả phần mềm phân phối bên ngoài Mac App Store hiện nay cũng cần có ký duyệt, hoặc người dùng sẽ không thể chạy chúng mà không cần các phương pháp đặc biệt. Bảy tháng sau đó, các nhà nghiên cứu đã phát hiện một chiến dịch adware hoạt động tấn công người dùng Mac với các tải trọng cũ và phần mềm độc hại đã được Apple ký duyệt đầy đủ.
Chiến dịch này đang phân phối adware phổ biến 'Shlayer', mà theo một số đếm có tác động đến đến một trong 10 thiết bị macOS trong những năm gần đây. Phần mềm độc hại thể hiện hành vi tiêu chuẩn của adware, như chèn quảng cáo vào kết quả tìm kiếm. Chưa rõ làm thế nào Shlayer đã trượt qua quét tự động và kiểm tra của Apple để được ký duyệt, đặc biệt là khi nó gần như giống hệt các phiên bản trước. Nhưng đây là ví dụ đầu tiên được biết đến về phần mềm độc hại được ký duyệt cho macOS.
Sinh viên Đại học Peter Dantini phát hiện phiên bản được ký duyệt của Shlayer khi truy cập vào trang chủ của công cụ phát triển Mac mã nguồn mở phổ biến Homebrew. Dantini tình cờ nhập sai một chút so với brew.sh, URL đúng. Trang mà anh ấy đến đã chuyển hướng một số lần đến một trang cập nhật Adobe Flash giả mạo. Tò mò về phần mềm độc hại anh có thể tìm thấy, Dantini tải xuống nó cố ý. Đến bất ngờ của anh, macOS hiển thị cảnh báo tiêu chuẩn của nó về các chương trình được tải xuống từ internet, nhưng không chặn anh ta khỏi việc chạy chương trình. Khi Dantini xác nhận rằng nó đã được ký duyệt, anh gửi thông tin đến nhà nghiên cứu bảo mật macOS lâu năm Patrick Wardle.
"Tôi đã mong đợi nếu ai đó lạm dụng hệ thống ký duyệt sẽ là điều gì đó phức tạp hoặc phức tạp hơn," nói Wardle, nhà nghiên cứu bảo mật chính tại công ty quản lý Mac Jamf. "Nhưng theo một cách, tôi không ngạc nhiên khi là adware làm điều đó trước tiên. Nhà phát triển adware rất sáng tạo và liên tục tiến hóa, vì họ sẽ mất rất nhiều tiền nếu họ không thể vượt qua các phòng thủ mới. Và ký duyệt là một điều không tốt cho nhiều chiến dịch quảng cáo tiêu chuẩn này, vì ngay cả khi người dùng bị lừa bấm vào và cố gắng chạy phần mềm, macOS bây giờ sẽ chặn nó."
Wardle thông báo cho Apple về phần mềm gian lận vào ngày 28 tháng 8 và công ty đã thu hồi các chứng nhận ký duyệt Shlayer cùng ngày đó, vô hiệu hóa phần mềm độc hại ở bất kỳ nơi nào nó được cài đặt và cho các tải xuống trong tương lai. Vào ngày 30 tháng 8, tuy nhiên, Wardle nhận thấy rằng chiến dịch adware vẫn hoạt động và phân phối các tải xuống Shlayer tương tự. Chúng chỉ đơn giản là đã được ký duyệt bằng một Apple Developer ID khác nhau, chỉ vài giờ sau khi công ty bắt đầu làm việc để thu hồi các chứng nhận ban đầu. Vào ngày 30 tháng 8, Wardle thông báo cho Apple về các phiên bản mới này.
"Phần mềm độc hại thay đổi liên tục, và hệ thống ký duyệt của Apple giúp chúng tôi ngăn chặn phần mềm độc hại trên Mac và cho phép chúng tôi phản ứng nhanh khi nó được phát hiện," công ty nói trong một tuyên bố. "Sau khi biết về adware này, chúng tôi đã thu hồi biến thể được xác định, vô hiệu hóa tài khoản nhà phát triển và thu hồi các chứng nhận liên quan. Chúng tôi cảm ơn các nhà nghiên cứu vì sự trợ giúp của họ trong việc giữ an toàn cho người dùng của chúng tôi."
Apple cũng tạo ra một phân biệt trong tài liệu ký duyệt của họ giữa 'App Review' chi tiết hơn trên iOS và kiểm tra này cho các ứng dụng macOS.
"Ký duyệt không phải là Đánh giá Ứng dụng," công ty viết. "Dịch vụ ký duyệt của Apple là một hệ thống tự động quét phần mềm của bạn để tìm nội dung độc hại, kiểm tra các vấn đề về việc ký mã code và trả kết quả lại cho bạn một cách nhanh chóng."
Trước khi Apple giới thiệu ký duyệt, nhà phát triển phần mềm độc hại chỉ đơn giản cần trả $99 một năm cho một Apple Developer ID để họ có thể ký tên phần mềm của mình là hợp lệ. Bất kỳ ứng dụng nào không được tải xuống từ Mac App Store sẽ kích hoạt cảnh báo khi người dùng cố gắng chạy nó về việc đảm bảo rằng các chương trình được tải xuống từ internet là an toàn để sử dụng, nhưng người dùng có thể dễ dàng bỏ qua chúng. Ký duyệt làm cho việc triển khai phần mềm độc hại khó hơn nhiều — hoặc ít nhất là ý tưởng đó. Wardle nói rằng trong kinh nghiệm của mình khi gửi các công cụ bảo mật riêng của mình để xem xét, bước kiểm tra tự động ban đầu của Apple chỉ mất vài phút để phát hành một sự chấp thuận. Tuy nhiên, các bên xấu rõ ràng đang trượt qua.
"Tôi rất chắc chắn rằng các ứng dụng độc hại sẽ trượt qua quá trình ký duyệt, vì vậy điều này không làm tôi ngạc nhiên," Thomas Reed, giám đốc các nền tảng Mac và di động tại công ty bảo mật Malwarebytes, nói. "Thực tế, tôi đã suy nghĩ về việc viết một ứng dụng có hành vi độc hại cổ điển và cố gắng để nó không được ký duyệt. Thật không may, điều này tiết kiệm cho tôi rắc rối. Đây là bằng chứng mà tôi đã đang đợi để chứng minh ký duyệt không hiệu quả."
Reed cũng lưu ý rằng anh đã bắt đầu nhận thấy phần mềm độc hại trên Mac như adware tiến hóa để vượt qua ký duyệt. Một phương pháp là phân phối phần mềm không ký và không được phê duyệt hoàn toàn bởi Apple và lừa người dùng cài đặt bằng cách bảo họ mong đợi cảnh báo từ Apple và sau đó hướng dẫn họ thông qua các quy trình vượt qua.
Như với bất kỳ hệ thống dựa trên niềm tin nào, ký duyệt có thể giúp Apple duy trì mức độ bảo mật khá chặt chẽ, nhưng bất cứ điều gì trốn qua được có thể lan rộng nhanh chóng vì nó có dấu ấn của công ty. Điều này đã trở thành vấn đề trong cả App Store của Apple trên iOS và Google Play Store cho các ứng dụng Android được duyệt. Các ứng dụng độc hại thường xuyên trượt vào và sau đó được tải xuống bởi người dùng không nghi ngờ gì.
Các công cụ quét malware vẫn sẽ phát hiện ra các cài đặt Shlayer được ký duyệt như là độc hại, nhưng bất kỳ ai không chạy phần mềm diệt virus sẽ gặp rủi ro.
"Bất kỳ ai cũng sẽ mắc lỗi trong việc phát hiện phần mềm độc hại, vì việc này khó khăn. Từ cái nhìn bảo mật tổng thể, tôi vẫn nghĩ rằng ký duyệt là một bước tiến tốt," Wardle nói. "Nhưng người dùng bình thường sẽ tin tưởng vào Apple — tôi cũng vậy! Vì vậy, nếu có điều gì đó nói rằng nó đã được ký duyệt, ngay cả người dùng có ý thức bảo mật cũng có khả năng tin rằng nó là ổn."
Nhiều Bài viết Tuyệt vời từ Mytour
- 📩 Muốn nhận thông tin mới nhất về công nghệ, khoa học và nhiều hơn nữa? Đăng ký nhận bản tin của chúng tôi ngay!
- Sự săn lùng nhanh chóng cho kẻ thả bom MAGA
- Làm thế nào để bỏ các ứng dụng điện thoại mà bạn chưa bao giờ sử dụng — hoặc không muốn
- Cô ấy đã giúp phá hủy ngành tin tức. Đây là kế hoạch của cô ấy để sửa chữa nó
- Pin không chứa coba là tốt cho hành tinh này — và nó thực sự hoạt động
- Biểu đồ của bạn có phải là câu chuyện của một thám tử? Hay là một bản báo cáo cảnh sát?
- ✨ Tối ưu hóa cuộc sống tại nhà của bạn với những lựa chọn tốt nhất từ nhóm Gear của chúng tôi, từ robot hút bụi đến đệm giá cả phải chăng đến loa thông minh
