聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Mac 的一款内置恶意软件检测工具“macOS 后台任务管理 (Background Task Management)”可能并不像我们想象得那样运作良好。在旧金山举行的 Defcon 黑客大会上,资深的 Mac 安全研究员 Patrick Wardle 分享了该机制中的多个漏洞,它们可用于绕过并打败苹果最新增加的监控工具。
目前并不存在能够以百分百准确度捕获计算机上恶意软件的万无一失的方法,因为恶意程序从本质上而言只是软件,就像 web 浏览器或聊天应用那样。合法程序和违规程序较难区分,因此操作系统厂商如微软和苹果以及第三方安全企业一直致力于开发新的检测机制和工具,从而能够以各种新方法识别潜在的恶意软件行为。
苹果的后台任务管理工具主要关注软件的“可持久性”。恶意软件可设计为短期性质,并仅在设备上或者在计算机重启之前短暂运行。但即使当计算机被关闭且重启时,也可将恶意软件构建得更加深入并在目标上“持久”。很多合法软件需要持久性,因此在用户每次打开设备并离开这些软件时,所有的应用、数据和偏好都会显示。但如果软件突然建立持久性,则可能是恶意软件中征兆。
为此,2022年10月苹果公司在 macOS Ventura 中增加了后台任务管理器,在发生“持久性事件”时直接向用户或者在系统上运行的第三方安全工具发送通知。如此,如果用户了解刚下载并安装新应用,则可忽视该消息;否则,可认为自己可能已被攻陷。
Wardle 表示,“当一些软件持续自我安装时,应当有工具进行通知。苹果增加了这一点很好,但实现非常糟糕,任何有点复杂度的恶意软件都可以轻松绕过监控。”
苹果尚未就此置评。
作为提供免费开源 macOS 安全工具的 Objective-See Foundation的一份子,Wardle 在多年前就提供了类似的持久性事件通知工具 BlockBlock。他提到,“因为我已经编写了类似工具,因此我了解自己的工具所面临的挑战,我就在想苹果的工具和框架是不是会有同样的问题需要克服,结果确实是这样。恶意软件仍然可以以一种完全不可见的方式保持持久性。”
当后台任务管理器首次发行时,Wardle 发现了该工具中更加基础的问题可导致持久性事件通知失败。他将这些问题告知苹果公司,后者修复了这些错误,但并未识别出更深入的问题。
Wardle 表示,“我们来回多次沟通,苹果公司最终修复了该问题,但这就像在正崩解的飞机上缠胶带一样,他们并未意识到该特性需要完成很多工作。”
Wardle 所分享的绕过方法之一要求对目标设备具有根访问权限,也就是说攻击者在阻止用户接收持久性警告前需要具有完全控制权限。修复与该潜在攻击相关的 bug 非常重要,因为黑客有时候可获得对目标的这种访问权限,可能会阻止通知,以便在系统上安装尽可能多的恶意软件。
更令人担忧的是,Wardle 还发现两个路径无需 root 访问权限就能够禁用后台任务管理器本应发送给用户和安全监控产品的持久性通知。其中一个exploit 利用告警系统和计算机操作系统核心即内核的通信方式中的bug。另外一个exploit 利用允许用户甚至是拥有深入系统权限的用户使进程处于睡眠状态的能力。Wardle 发现该能力可被用于在通知触及用户之前破坏持久性通知。
Wardle 指出,自己之所以在未事先通知苹果的情况下就在Defcon大会上发布这些漏洞的原因是,他已经通知苹果这些问题以更加全面地提升工具的整体质量。他还指出,绕过这一监控工具使得 macOS 的安全状况回落到一年前即该特性发布前。但他表示苹果发布看似匆忙或需要更多测试后才能发布的监控工具问题重重,因为这样做让用户和安全厂商有了一种安全错觉。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
苹果员工在CTF大赛发现谷歌0day秘而不报 $10000赏金由他人获得
原文链接
https://arstechnica.com/security/2023/08/researcher-finds-easy-exploits-for-apples-malware-flagging-tool/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~