Apple malware

Apple approva accidentalmente un malware su MacOS

L'onnipresente adware Shlayer è sfuggito per la prima volta alle difese di autenticazione della società di Cupertino
Apple approva accidentalmente un malware su MacOS FASTWEB S.p.A.

Per decenni, gli utenti Mac dovevano preoccuparsi molto meno dei malware, rispetto alle controparti Windows, ma negli ultimi anni le cose hanno iniziato a cambiare. Nel tentativo di reprimere le crescenti minacce come adware e ransomware, a febbraio Apple ha iniziato ad "autenticare" tutte le applicazioni macOS, con un processo di controllo progettato per eliminare app illegittime o dannose. Anche i software Mac distribuiti al di fuori dell'App Store ora necessitano di autenticazione, altrimenti gli utenti non sarebbero in grado di eseguirli. Sette mesi dopo, tuttavia, i ricercatori hanno scoperto una campagna di adware attiva che attaccava gli utenti Mac con gli stessi vecchi payload, e il malware è stato incredibilmente autenticato proprio da Apple.

Questa campagna sta distribuendo l'onnipresente adware "Shlayer", che da alcuni punti di vista ha interessato ben un dispositivo macOS su 10 solo negli ultimi anni. Il malware mostra un comportamento adware standard, come l'inserimento di annunci nei risultati di ricerca. Non è chiaro come Shlayer sia sfuggito alle scansioni e ai controlli automatici di Apple per essere autenticato, soprattutto considerando che è praticamente identico alle versioni precedenti. Ma è il primo esempio noto di malware autenticato per macOS.

Lo studente universitario Peter Dantini ha scoperto la versione autenticata di Shlayer durante la navigazione nella home page del popolare strumento di sviluppo per Mac open source Homebrew. Dantini ha digitato accidentalmente qualcosa di leggermente diverso da brew.sh, l'URL corretto. La pagina su cui è atterrato è stata reindirizzata diverse volte a una falsa pagina di aggiornamento di Adobe Flash. Curioso di sapere quale malware avrebbe potuto trovare, Dantini lo ha scaricato apposta. Con sua sorpresa, macOS ha visualizzato il suo avviso standard sui programmi scaricati da Internet, ma non gli ha impedito di eseguire il programma. Quando Dantini ha confermato che era stato autenticato, ha inviato le informazioni al veterano di sicurezza macOS Patrick Wardle.

"Mi aspettavo che se qualcuno avesse abusato del sistema di autenticazione, sarebbe stato qualcosa di più sofisticato o complesso", afferma Wardle, principale ricercatore di sicurezza presso la società di gestione Mac Jamf. "Ma in un certo senso non sono sorpreso che sia stato un adware a farlo per primo. Gli sviluppatori di adware sono molto innovativi e in continua evoluzione, perché rischiano di perdere un sacco di soldi se non riescono ad aggirare le nuove difese. E l'autenticazione lo è stata, per molte di queste campagne pubblicitarie standard, perché anche se gli utenti vengono indotti a cliccare e provare ad eseguire il software, macOS lo bloccherà".

Wardle ha informato Apple del software malevolo il 28 agosto e la società ha revocato i certificati di Shlayer lo stesso giorno, neutralizzando il malware ovunque fosse installato e per futuri download. Il 30 agosto, tuttavia, Wardle ha notato che la campagna adware era ancora attiva e distribuiva gli stessi download di Shlayer. Erano stati semplicemente autenticati utilizzando un ID sviluppatore Apple diverso, solo poche ore dopo che la società aveva iniziato a lavorare sulla revoca dei certificati originali. Il 30 agosto, Wardle ha informato Apple di queste nuove versioni.

"Il software dannoso cambia costantemente e il sistema di autenticazione di Apple ci aiuta a tenere il malware lontano dal Mac e ci consente di rispondere rapidamente quando viene scoperto", ha affermato la società in una nota. "Dopo aver appreso di questo adware, abbiamo revocato la variante identificata, disabilitato l'account sviluppatore e revocato i certificati associati. Ringraziamo i ricercatori per la loro assistenza nel mantenere i nostri utenti al sicuro".

Apple fa anche una distinzione nei suoi materiali di autenticazione tra la sua più approfondita "App Review" iOS e questo controllo per le applicazioni macOS. "L'autenticazione non è solo una revisione dell'app", ha scritto la società. "Il servizio di autenticazione è un sistema automatizzato che esegue la scansione del software alla ricerca di contenuti dannosi, verifica la presenza di problemi di firma del codice e restituisce rapidamente i risultati."

Prima che Apple introducesse il sistema di autenticazione, gli sviluppatori di malware dovevano semplicemente pagare 99 dollari all'anno per un ID sviluppatore Apple in modo da poter firmare il loro software come legittimo. Qualsiasi applicazione non scaricata dal Mac App Store attivava un avviso quando gli utenti cercavano di eseguirla, per assicurarsi che i programmi scaricati da Internet fossero sicuri da usare, ma gli utenti potevano facilmente fare clic su di essi. L'autenticazione notarile rende molto più difficile distribuire malware, o almeno questa è l'idea. Wardle afferma che, in base alla sua esperienza nel sottoporre i propri strumenti di sicurezza per la revisione, il controllo automatico iniziale di Apple richiede solo pochi minuti per rilasciare un'approvazione. Tuttavia, è interessante sottolineare che i "cattivi attori" hanno chiaramente trovato un modo per sfuggire dai controlli.

"Ero abbastanza certo che le app dannose sarebbero sfuggite al processo di autenticazione, quindi questo non mi sorprende", afferma Thomas Reed, direttore delle piattaforme Mac e mobili presso la società di sicurezza Malwarebytes. "In realtà stavo pensando di scrivere un'app che esibisse comportamenti dannosi classici e cercando di farla autenticare. Sfortunatamente, questo mi risparmia il problema. Questa è la prova che stavo aspettando che l'autenticazione non sia efficace".

Reed nota anche che ha iniziato a vedere il malware per Mac come l'adware evolversi per aggirare l'autenticazione. Un metodo consiste nel distribuire software completamente non firmato e non approvato da Apple e indurre gli utenti a installarlo dicendo loro di aspettarsi avvisi da Apple e guidandoli attraverso i processi di soluzione alternativa.

Come con qualsiasi sistema basato sulla fiducia, l'autenticazione può aiutare Apple a mantenere la sicurezza piuttosto stretta, ma tutto ciò che si insinua può quindi diffondersi rapidamente perché ha l'imprimatur dell'azienda. Questo è già un problema sia nello Store iOS che nel Google Play Store, per le applicazioni Android controllate. Le app dannose spesso riescono a sfuggire e vengono scaricate da utenti ignari.

Gli scanner di malware avrebbero comunque rilevato le installazioni di Shlayer segnalandole come dannose, ma chiunque non avesse avutonun antivirus sarebbe stato colpito. "Chiunque potrebbe commettere errori nel rilevare un software dannoso, perché è difficile da fare. Nel complesso, dal punto di vista della sicurezza, penso ancora che l'autenticazione di Apple sia un buon sistema", afferma Wardle. "Ma l'utente medio si fiderà di Apple, lo faccio anche io! Quindi, se qualcosa dice che è autenticato, anche un utente attento alla sicurezza è più probabile che si fidi."

Fonte: wired.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail