マルコム・オーウェン
· 2分で読めます
macOS Ventura のバックグラウンド タスク マネージャーは、セキュリティ研究者が簡単にバイパスできると主張しているため、期待どおりの効果が得られていません。
Appleは2022年10月にmacOS Venturaの一部としてバックグラウンドタスクマネージャーを導入しました。このツールの目的は、新しい永続エンティティが起動したことをユーザーや他のアプリに警告し、マルウェアの阻止に役立つ可能性があることです。
しかし、Defconでのプレゼンテーションでは、このシステムは理論上は有用であるものの、マルウェアによって簡単に回避されることが明らかになりました。パトリック・ウォードル氏は、この機能が悪意のあるアプリによって回避され、バックグラウンドで実行され続けるマルウェアをユーザーが発見しにくくなる可能性について説明しました。
Wiredによると、Wardle 氏は Defcon で「何かが永続的にインストールされるときに通知するツールがあるべきで、Apple がそれを追加したのは良いことだ」と述べた。「しかし、実装があまりにもまずかったため、ある程度洗練されたマルウェアであれば監視を簡単に回避できてしまう」
ウォードル氏は、以前BlockBlockを永続イベント通知ツールとして提供していた経験から、こうした機能の課題を理解しており、「Appleのツールやフレームワークにも、自身のバージョンと同じ課題があるのではないか」と考えていたという。しかし、実際には同じ問題があり、「マルウェアは依然として完全に目に見えない形で永続化できる」ことが判明した。
Appleへの通知
ウォードル氏は初期段階でいくつかの基本的な問題を発見し、Appleに報告して修正してもらいました。しかし、Appleは問題のより深い部分まで調査しなかったようです。
「何度もやり取りを重ね、最終的に彼らはその問題を修正しましたが、まるで墜落する飛行機にテープを貼るようなものでした」とウォードル氏は総括した。「彼らは、この機能に多くの作業が必要だと気づいていなかったのです。」
ウォードル氏は、これらのバイパスのうち、ルートアクセスを必要としない2つの方法を発見しました。これには、システムとカーネルの通信方法に潜むバグが含まれます。もう1つの方法は、ユーザーがプロセスをスリープ状態にする機能を利用するもので、これを悪用して通知を妨害することができます。
3 つ目のバグは実行にルートアクセスを必要とするものでしたが、ハッカーが高度なアクセス権を取得する可能性があるためこのバグに注意する必要があり、通知が表示されないようにする必要があると Wardle 氏は主張しています。
ウォードル氏は以前の警告とは異なり、プレゼンテーションについてAppleに報告しないことに決めた。なぜなら、彼は以前にもAppleにシステム上の問題点を伝えており、それらの問題点はいずれにせよより包括的な改善につながる可能性があったからだ。情報開示の欠如も大きな問題ではない。事実上、状況は導入前の1年前の状態に戻ってしまうからだ。
Wardle氏は、macOSの問題について、自身の専門知識を活かして定期的に講演を行っています。Defcon 2022では、ZoomでmacOSの問題を共有しました。
