Một Công cụ Báo cáo Phần mềm độc hại của Apple Dễ Dàng 'Quá Nhẹ Nhàng' để Vượt qua

Một trong những công cụ phát hiện malware tích hợp sẵn trên Mac của bạn có thể không hoạt động như bạn nghĩ. Tại hội nghị hacker Defcon ở Las Vegas, nhà nghiên cứu an ninh Mac lâu năm Patrick Wardle trình bày các phát hiện về lỗ hổng trong cơ chế Quản lý Nhiệm vụ Nền của Apple, có thể bị lợi dụng để vượt qua công cụ giám sát mới được thêm vào của công ty, và do đó, làm mất tác dụng nó.

Không có phương pháp chắc chắn nào để bắt malware trên máy tính với độ chính xác hoàn hảo vì, ở cơ bản, các chương trình độc hại chỉ là phần mềm, giống như trình duyệt web hoặc ứng dụng chat của bạn. Việc phân biệt giữa các chương trình hợp lệ và những kẻ phạm tội có thể khó khăn. Vì vậy, các nhà sản xuất hệ điều hành như Microsoft và Apple, cũng như các công ty bảo mật bên thứ ba, luôn nỗ lực phát triển các cơ chế phát hiện và công cụ mới có thể nhận diện hành vi phần mềm có tiềm ẩn nguy cơ một cách mới.

Công cụ Quản lý Nhiệm vụ Nền của Apple tập trung vào theo dõi 'sự kiên nhẹ' của phần mềm. Malware có thể được thiết kế để tồn tại ngắn hạn trên một thiết bị hoặc cho đến khi máy tính khởi động lại. Nhưng nó cũng có thể được xây dựng để tồn tại sâu hơn và 'kiên trì' trên một mục tiêu ngay cả khi máy tính đã tắt và khởi động lại. Nhiều phần mềm hợp lệ cần sự kiên trì để tất cả ứng dụng, dữ liệu và sở thích của bạn sẽ xuất hiện như bạn đã để lại mỗi khi bạn bật thiết bị. Nhưng nếu phần mềm thiết lập sự kiên trì một cách bất ngờ hoặc đột ngột, có thể là dấu hiệu của một cái gì đó độc hại. 

Với điều này trong tâm trí, Apple đã thêm Công cụ Quản lý Nhiệm vụ Nền vào macOS Ventura, được ra mắt vào tháng 10 năm 2022, để gửi thông báo cả trực tiếp đến người dùng và đến bất kỳ công cụ bảo mật bên thứ ba nào đang chạy trên hệ thống nếu một 'sự kiện kiên trì' xảy ra. Điều này có nghĩa là, nếu bạn biết bạn vừa tải xuống và cài đặt một ứng dụng mới, bạn có thể bỏ qua thông báo. Nhưng nếu không, bạn có thể điều tra khả năng bạn đã bị xâm phạm.

“Nên có một công cụ [thông báo cho bạn] khi có điều gì đó tự cài đặt kiên trì, đó là một điều tốt mà Apple đã thêm vào, nhưng cài đặt đã được thực hiện một cách quá kém cỏi đến mức bất kỳ malware nào có chút phức tạp cũng có thể dễ dàng vượt qua giám sát,” Wardle chia sẻ về các kết quả tại Defcon. 

Hiện chưa thể liên hệ được với Apple để có bình luận.

Là một phần của Quỹ Objective-See của mình, cung cấp các công cụ an ninh macOS mã nguồn mở và miễn phí, Wardle đã cung cấp một công cụ thông báo sự kiện kiên trì tương tự được biết đến với tên BlockBlock từ nhiều năm nay. “Bởi vì tôi đã viết những công cụ tương tự, tôi biết những thách thức mà các công cụ của tôi đã phải đối mặt, và tôi tự hỏi liệu công cụ và framework của Apple có những vấn đề tương tự cần giải quyết hay không - và chúng có,” ông nói. “Phần mềm độc hại vẫn có thể tồn tại một cách hoàn toàn vô hình.”

Khi Công cụ Quản lý Nhiệm vụ Nền xuất hiện lần đầu, Wardle phát hiện một số vấn đề cơ bản khác với công cụ làm cho thông báo sự kiện kiên trì không hoạt động. Ông báo cáo vấn đề đó cho Apple và công ty đã sửa lỗi. Nhưng công ty không xác định được những vấn đề sâu sắc hơn với công cụ.

“Chúng tôi đã trao đổi ý kiến, và cuối cùng, họ sửa lỗi đó, nhưng đó giống như việc dán băng dính lên máy bay khi nó đang rơi,” Wardle nói. “Họ không nhận ra rằng tính năng đó cần nhiều công việc để hoàn thiện.”

Một trong những cách để vượt qua mà Wardle trình bày vào thứ Bảy đòi hỏi quyền truy cập gốc vào thiết bị mục tiêu, có nghĩa là tin tặc cần kiểm soát đầy đủ trước khi họ có thể ngăn người dùng nhận thông báo kiên trì. Lỗ hổng liên quan đến cuộc tấn công tiềm ẩn này quan trọng để vá lỗi vì tin tặc đôi khi có thể đạt được cấp quyền truy cập này và có thể được động viên để ngừng thông báo để họ có thể cài đặt bất kỳ malware nào họ muốn vào hệ thống. 

Đáng lo ngại hơn là Wardle cũng phát hiện hai đường dẫn không yêu cầu quyền truy cập gốc để tắt thông báo kiên trì mà Công cụ Quản lý Nhiệm vụ Nền được thiết kế để gửi đến người dùng và đến các sản phẩm giám sát bảo mật. Một trong những lỗ hổng này tận dụng một lỗi trong cách hệ thống cảnh báo giao tiếp với trung tâm của hệ điều hành máy tính được biết đến với tên là kernel. Cái khác tận dụng khả năng cho phép người dùng, thậm chí là những người không có đặc quyền hệ thống sâu, để đặt quy trình vào chế độ ngủ. Wardle phát hiện rằng khả năng này có thể được lợi dụng để làm gián đoạn thông báo kiên trì trước khi chúng có thể đến với người dùng.

Wardle nói rằng anh chọn phát hành những lỗ hổng này tại Defcon mà không thông báo trước cho Apple vì anh đã thông báo cho công ty về các lỗ hổng trong Công cụ Quản lý Nhiệm vụ Nền có thể đã dẫn đến việc cải thiện chất lượng tổng thể của công cụ một cách toàn diện hơn. Anh cũng thêm vào rằng bỏ qua giám sát này chỉ đơn giản là đưa trạng thái an ninh macOS trở lại như nó đã là một năm trước, trước khi tính năng này ra mắt. Nhưng anh lưu ý rằng có vấn đề khi Apple phát hành các công cụ giám sát có vẻ gấp gáp hoặc cần thêm kiểm thử, vì nó có thể mang lại cho người dùng và các nhà cung cấp bảo mật một cảm giác an toàn giả mạo.