Гнилое яблоко: встроенный в macOS инструмент мониторинга автозагрузки оказался небезопасным

Патрик Уордл, известный исследователь безопасности macOS, представил на недавней конференции Def Con результаты исследования, согласно которым встроенный в macOS инструмент обнаружения вредоносных программ Background Task Management содержит сразу несколько неприятных уязвимостей.

Использовать их можно для обхода мониторинга автозапуска вышеуказанной системной утилиты, тем самым снизив её эффективность. Инструмент был добавлен купертиновскими специалистами в macOS Ventura в октябре 2022 года.

По словам Уордла, не существует идеальных способов обнаружения вредоносных программ, поскольку они, по сути, являются программным обеспечением, как и любые другие приложения. Поэтому Apple и сторонние компании постоянно разрабатывают новые механизмы для их выявления.

Background Task Management нацелен на мониторинг программ в автозагрузке системы. Несмотря на то, что функцией автозапуска пользуется множество легитимных программ, неожиданное появление в автозапуске новых записей может указывать на вредоносную активность. При обнаружении подобных событий инструмент должен отправлять уведомления пользователю и сторонним системам безопасности.

Однако Уордл обнаружил целый ряд способов обхода мониторинга данного инструмента, в том числе без получения root-доступа. Примечательно, что исследователь решил раскрыть выявленные уязвимости на конференции Def Con, не уведомив предварительно Apple, что является классической практикой в сфере багхантинга.

Это решение связано с тем, что Уордл ранее уже сообщал компании о других недостатках данного инструмента, которые специалисты компании хоть и устраняли, не видели главного — что необходим более комплексный подход. По-хорошему, Background Task Management нужно переписать с нуля, с учётом всех известных недостатков безопасности.

По словам Уордла, один из найденных им способов обхода мониторинга требует получения root-доступа к устройству. Эту уязвимость важно устранить, поскольку злоумышленники иногда могут получить такой уровень доступа к системе и захотеть отключить оповещения, чтобы незаметно установить на компьютер как можно больше вредоносных программ.

Однако ещё более тревожно то, что Уордл нашёл два других пути для отключения оповещений инструмента вообще без root-доступа. Один из них эксплуатирует ошибку во взаимодействии с ядром операционной системы, а другой — возможность приостановки процессов, доступную даже обычным пользователям. Эту возможность можно применить, чтобы прервать отправку уведомлений до того, как они дойдут до пользователя.

По словам исследователя, устранение данных уязвимостей просто вернёт безопасность macOS к тому уровню, который был ещё до появления Background Task Manager.

Поступок Уордла нельзя назвать правильным, потому что своими действиями он, фактически, указал хакерам, куда им атаковать, причём ещё до выхода официального исправления от Apple.

Тем не менее, он громко заявил о сырости Background Task Manager, что вряд ли компания из Купертино теперь сможет игнорировать. Вполне возможно, в будущем Apple существенно переработает данный инструмент, чтобы он отвечал всем современным стандартам безопасности.