Il notaio accidentale: Apple approva l’esecuzione del famigerato malware sui Mac

91

Aurich Lawson/Getty Images

Quando una protezione da malware Apple potrebbe comportare un rischio per l’utente maggiore di nessuno? Quando certifica un trojan come sicuro anche se sporge come un pollice dolorante e rappresenta una delle più grandi minacce sulla piattaforma macOS.

Il mondo ha ricevuto questa lezione durante il fine settimana dopo che Apple ha dato il suo imprimatur agli ultimi campioni di “Shlayer”, il nome dato a un trojan che è stato tra i più, se non il più, prolifico malware per Mac per più di due anni. Il sigillo di approvazione è arrivato sotto forma di un meccanismo di notarizzazione che Apple ha introdotto in macOS Mojave per, come ha affermato Apple, “dare agli utenti più fiducia” che l’app che installano “è stata controllata da Apple per componenti dannosi”.

Con il lancio di macOS Catalina, l’autenticazione notarile è diventata un requisito per tutte le app. A meno che non venga installata utilizzando metodi non menzionati da Apple (ne parleremo più avanti), un’app non autenticata genererà il seguente avviso che dice che “non può essere aperta perché Apple non può controllarla per software dannoso”.

Shlayer classico… con una grande differenza

Venerdì, lo studente universitario Peter H. Dantini ha scoperto che homebrew[.]sh, un’imitazione del legittimo sito homebrew brew.sh, stava spingendo un falso aggiornamento di Adobe Flash e avvertiva gli utenti che la loro versione attuale non disponeva degli ultimi aggiornamenti di sicurezza.

Era una classica campagna Shlayer simile a centinaia o migliaia di precedenti che utilizzavano anche falsi aggiornamenti Flash per infettare gli utenti con adware, tranne per una differenza fondamentale: il trojan era stato autenticato da Apple. Patrick Wardle, ricercatore di sicurezza presso la società di gestione aziendale macOS e iOS Jamf, ha affermato di ritenere che questo sia il primo malware a ricevere il “timbro di approvazione” notarile.

Annuncio

Wardle ha notificato ad Apple venerdì il file erroneamente autenticato e la società ha rapidamente revocato la certificazione, una mossa che ha impedito al trojan di infettare i Mac aggiornati. Domenica, Wardle ha detto di aver scoperto che il sito stava servendo nuovi payload dannosi che sono stati, ancora una volta, autenticati da Apple.

“Sfortunatamente, un sistema che promette fiducia, ma non riesce a mantenere, alla fine può mettere gli utenti più a rischio”, ha scritto Wardle in un post. “Come mai? Se gli utenti Mac accettano le affermazioni di Apple, è probabile che si fidino completamente di qualsiasi software autenticato da un notaio. Questo è estremamente problematico poiché il software dannoso noto (come OSX.Shlayer) sta già (banalmente?) ottenendo tale autenticazione notarile!”

Anche il fornitore di antivirus Malwarebytes è intervenuto, affermando: “Sfortunatamente, sta iniziando a sembrare che l’autenticazione notarile possa essere meno sicurezza e più teatro di sicurezza”.

In difesa della notarizzazione

In una dichiarazione, i funzionari di Apple hanno scritto: “Il software dannoso cambia costantemente e il sistema di notarizzazione di Apple ci aiuta a tenere il malware lontano dal Mac e ci consente di rispondere rapidamente quando viene scoperto. Dopo aver appreso di questo adware, abbiamo revocato la variante identificata, disabilitato l’account sviluppatore e revocato i certificati associati. Ringraziamo i ricercatori per la loro assistenza nel proteggere i nostri utenti”.

A difesa di Apple, la società è sempre stata chiara sul fatto che l’autenticazione notarile è “un sistema automatizzato che esegue la scansione del software alla ricerca di contenuti dannosi, verifica la presenza di problemi di firma del codice e restituisce rapidamente i risultati”. In quanto tale, Apple non l’ha mai presentato come un controllo di sicurezza completo.

Un altro punto a favore di Apple: nel momento in cui Dantini ha scoperto il malware e lo ha segnalato a Wardle, il campione non aveva rilevazioni su Virus Total, il servizio di scansione malware di proprietà di Alphabet che aggrega i risultati di oltre 60 provider AV. Inoltre, il Play Store di Google ammette regolarmente app dannose anche se il suo servizio di buttafuori presumibilmente esegue la scansione di attività nefaste.

E anche quando l’autenticazione notarile impedisce l’installazione normale di un’app, non è così difficile aggirare il meccanismo. Come mostrato nello screenshot qui sotto, per gentile concessione di Malwarebytes, le versioni non autenticate di Shlayer hanno a lungo presentato segni con uno sfondo personalizzato che indicava loro di fare clic con il pulsante destro del mouse su un file di immagine del disco, piuttosto che fare doppio clic su di esso normalmente, quindi selezionare Apri.

Annuncio

Malwarebytes

Con quello il malware è installato.

Sdentato… e un dolore da usare

Allo stesso tempo, come notato l’anno scorso da Andrew Cunningham, ora revisore freelance per Ars, l’autenticazione notarile è un onere sia per gli utenti che per gli sviluppatori. Presumibilmente Apple l’ha incaricata di aumentare le protezioni di firma del codice introdotte in precedenza, che richiedono agli sviluppatori di autenticare le proprie app con un certificato crittografico emesso da Apple. Se il servizio ha reso gli utenti più sicuri, potresti avere un buon motivo per dire che ne vale la pena. È più difficile sostenere questo argomento se la nuova funzionalità offre agli utenti un falso senso di sicurezza.

L’autenticazione notarile sembra particolarmente inutile quando non riesce a rilevare questa particolare famiglia di malware. Come riportato da Kaspersky Lab a gennaio, Shlayer è stata la principale minaccia per macOS per circa due anni e ha rappresentato circa il 30% di tutti i rilevamenti sul sistema operativo per il 2019. Shlayer va ben oltre il fastidio dell’adware. Ad esempio, dopo aver utilizzato tecniche di clickjacking per indurre gli utenti a installare un certificato crittografico autofirmato, il malware decrittografa e legge tutto il traffico HTTPS crittografato. Raccoglie anche gli ID utente.

La sciocchezza di Apple è ancora più difficile da capire quando si innamora di file come quelli trovati venerdì e di nuovo domenica.

“Era un falso aggiornamento di Flash Player… con l’icona di Adobe e tutto il resto… che ovviamente non era firmato da Adobe”, mi ha detto Wardle in una chat online. “Avresti pensato che fosse una grande bandiera rossa che Apple avrebbe semplicemente bloccato comunque come, umm, tutto ciò che si maschera da aggiornamento ‘Flash’ … yah, no, non autenticarlo, dato che a chi importa cosa fa (cioè che malware/adware è), obv. è falso/dannoso.”

Aggiornato per aggiungere il sesto all’ultimo paragrafo.