セキュリティ研究者らは、Apple の macOS アプリの公証プロセスで、Flash インストーラーを装ったマルウェアが誤って承認されたことを発見しました。
Apple は、Mac アプリ開発者 (App Store 以外の開発者であっても) にアプリを提出するよう求めています。公証、セキュリティ上の問題や悪意のあるコードがないかチェックします。公証に合格しない場合、アプリは Gatekeeper によってブロックされます。
しかし、macOSセキュリティ研究者のパトリック・ウォードル氏とTwitterユーザーは、ピーター・ダンティーニ少なくともそれを発見しましたワンピース悪意のあるコードの一部が Apple の保護手段をすり抜けたようです。
金曜日、ダンティーニ氏は、Flash インストーラー アドウェア キャンペーンに、実際には Apple によって公証された悪意のあるコードが含まれていることに気づきました。この公証の効果は、インストーラーが組み込みの Gatekeeper セキュリティ機能によってブロックされなくなることです。ユーザーがそれをクリックすると、インストーラーが実行され、ペイロードがシステムに配信されます。
ウォードル氏は、マルウェアに含まれる承認されたコードがマルウェアによって使用されたことを確認しました。Shlayer アドウェア、Mac ユーザーにとって最も悪質な脅威であると言われています。 Shlayer は Web トラフィックを傍受し、広告を独自の広告に置き換えることで機能し、運営者に不正に利益をもたらします。
ブログ投稿で指摘したように、ワードル氏はこの承認は「初めて」だと述べている。 Appleは、公証はアプリのレビューではないと述べている。これは、マルウェアやコード署名の問題をスキャンする、はるかに高速で自動化されたプロセスです。
基本的に、Apple の公証プロセスは、悪意のあるコードが送信されたときに検出できませんでした。事実上、このマルウェアは、ベータ版を実行している Mac デバイスでも実行することが承認されました。macOS ビッグサー。
Wardle 氏の連絡を受けて、Apple はマルウェアの公証を取り消しました。で声明にテッククランチ, Appleはウォードル氏の努力を称賛した。
「悪意のあるソフトウェアは常に変化しており、Apple の公証システムのおかげで Mac へのマルウェアの侵入を防ぎ、発見されたときに迅速に対応できるようになりました。このアドウェアの存在を知った私たちは、特定された亜種を取り消し、開発者アカウントを無効にし、関連する証明書を取り消しました。ユーザーの安全を守るために協力してくれた研究者に感謝します。」
Apple が認めているように、マルウェアは常に変化します。そのため、悪意のある攻撃者が再び悪意のあるペイロードを Apple の公証プロセスに提出する可能性があります。ワードル氏は、これらのペイロードの少なくとも一部は公証される可能性があると述べた。
Isamu 
Isamu 
Isamu