Applen Mac-tietokoneet ovat perinteisesti olleet huomattavasti paremmin suojattuja haittaohjelmilta verrattuna Windowsiin, mutta täydellinen turvallisuus ei ole Macienkaan etuoikeus.
Äskettäin Jamf Threat Labs julkaisi tutkimuksen uudesta MacSync Stealer -haittaohjelmasta, joka onnistui ohittamaan Applen keskeiset suojausmekanismit.
Aiheeseen liittyvät julkaisut
Tutkimuksen mukaan haittaohjelma levisi näennäisesti täysin luotettavan sovelluksen sisällä. Sovellus oli allekirjoitettu voimassa olevalla Developer ID -varmenteella ja Applen notarisoima, minkä vuoksi käyttöjärjestelmän Gatekeeper ei estänyt sen käynnistämistä. Käytännössä macOS piti sovellusta aidosti luotettavana.
Perinteisesti Applen malli on toiminut melko hyvin. Nykyisin Mac App Storen ulkopuolelta jaettavien sovellusten on oltava kryptografisesti allekirjoitettuja ja Applen notarisoimia, jotta ne voivat käynnistyä ilman ylimääräisiä varoituksia.
Applen järjestelmä on kuitenkin perustunut oletukseen, että tunnistetut kehittäjät tarjoavat turvallisuutta, mutta tämä oletus on alkanut heikentyä. Hyökkääjät ovat onnistuneet hankkimaan oikeita kehittäjävarmenteita – joko murrettuina tai pimeiltä markkinoilta ostettuina – ja levittävät niiden avulla haittaohjelmia, jotka asennushetkellä näyttävät täysin tavallisilta sovelluksilta.
Jamfin raportin mukaan uusi MacSync Stealer -variantti on myös rakennettu ovelasti: aluksi kyseessä on yksinkertainen Swift-pohjainen ohjelma, joka ei tee mitään selvästi haitallista, minkä vuoksi se läpäisee Applen analyysin ongelmitta.
Varsinainen uhka aktivoituu vasta myöhemmin, kun sovellus ottaa yhteyden ulkoiseen palvelimeen ja lataa lisää haitallista sisältöä. Koska tätä sisältöä ei ole saatavilla notarisoinnin aikana, Applen tarkistusjärjestelmä ei pääse siihen käsiksi. Notarisaatio tarkistaa vain sen, mitä sovellus sisältää lähetyshetkellä – ei sitä, mitä se saattaa hakea myöhemmin.
Ensimmäiset havainnot Applen notarisoimasta haittaohjelmasta tehtiin jo vuonna 2020. Myös tämän vuoden heinäkuussa raportoitiin vastaavasta tapauksesta.
Notarisointi mahdollistaa edelleen Applelle haittaohjelmaksi havaitun sovelluksen poistamisen jakelusta, joten täysin hyödytöntä se ei ole.
Myös Mac-tietokoneilla, kuten muilla laitteilla, pätee kuitenkin yleissääntö, jonka mukaan turhia sovelluksia ei kannata ladata ja ladattavat sovellukset on parasta hankkia Mac App Storesta tai suoraan tunnettujen kehittäjien verkkosivuilta.
