Kasvava ongelma uhkaa Mac-käyttäjiä – haittaohjelma voi olla Applen vahvistama

Applen Mac-tietokoneet ovat perinteisesti olleet paljon paremmin suojassa haittaohjelmilta Windowsiin verrattuna, mutta täysi turvallisuuden tyyssija Macitkaan eivät ole.

Hiljattain Jamf Threat Labs julkaisi tutkimuksen uudesta MacSync Stealer -haittaohjelmaversiosta, joka onnistui kiertämään Applen keskeiset suojamekanismit.

Tutkimuksen mukaan haittaohjelma levisi näennäisesti täysin luotettavan sovelluksen sisällä. Sovellus oli allekirjoitettu voimassa olevalla Developer ID -varmenteella ja Applen notarisoima, minkä vuoksi käyttöjärjestelmän Gatekeeper ei estänyt sen käynnistymistä. Käytännössä macOS piti sovellusta aidosti luotettavana.

Perinteisesti Applen malli on toiminut varsin hyvin. Nykyisin Mac App Storen ulkopuolelta jaettavien sovellusten on oltava kryptografisesti allekirjoitettuja ja Applen notarisoimia, jotta ne käynnistyvät ilman ylimääräisiä varoituksia.

Applen järjestelmä on kuitenkin perustunut oletukseen, että tunnistetut kehittäjät tuovat turvallisuutta, mutta nyt tämä oletus on alkanut murentua. Hyökkääjät ovat onnistuneet hankkimaan oikeita kehittäjävarmenteita – joko murrettuina tai pimeiltä markkinoilta ostettuina – ja levittävät niiden avulla haittaohjelmia, jotka asennushetkellä näyttävät täysin tavallisilta sovelluksilta.

Jamfin raportin mukaan uusi MacSync Stealer -variantti on myös rakennettu ovelasti: aluksi kyseessä on yksinkertainen Swift-pohjainen ohjelma, joka ei tee mitään selvästi haitallista, minkä myötä se läpäisee Applen analyysin ongelmitta.

Varsinainen vaara aktivoituu vasta myöhemmin, kun sovellus ottaa yhteyden ulkoiseen palvelimeen ja lataa lisää haitallista sisältöä. Koska tätä sisältöä ei ole saatavilla notarisoinnin aikana, Applen tarkistusjärjestelmä ei pääse siihen käsiksi. Notarisaatio tarkistaa vain sen, mitä sovellus sisältää lähetyshetkellä – ei sitä, mitä se saattaa hakea myöhemmin.

Ensimmäiset havainnot Applen notarisoimasta haittaohjelmasta tehtiin jo vuonna 2020. Myös tämän vuoden heinäkuussa raportoitiin vastaavasta tapauksesta.

Notarisointi mahdollistaa edelleen Applelle haittaohjelmaksi havaitun sovelluksen poistamisen jakelusta, joten täysin hyödytöntä se ei ole.

Myös Mac-tietokoneilla, kuten muilla laitteilla, pätee kuitenkin yleissääntö, jonka myötä turhia sovelluksia ei kannata ladata ja ladattavat sovellukset on parasta hankkia Mac App Storesta tai suoraan tunnettujen kehittäjien verkkosivuiota.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla