マイク・ピーターソン
· 1分で読めます
Apple は認証において Mac マルウェアを誤って承認しました。
セキュリティ研究者らは、Apple の macOS アプリ認証プロセスが Flash インストーラーを装ったマルウェアを誤って承認したことを発見した。
Appleは、Macアプリ開発者(App Store以外でも)に、アプリのセキュリティ問題や悪意のあるコードの有無を検査する認証(ノータリゼーション)の提出を義務付けています。認証に合格しないアプリは、Gatekeeperによってブロックされます。
しかし、macOSセキュリティ研究者のパトリック・ウォードル氏とTwitterユーザーのピーター・ダンティーニ氏は、少なくとも1つの悪意のあるコードがAppleの安全策をすり抜けた可能性があることを発見した。
金曜日、Dantini氏はFlashインストーラー型アドウェアキャンペーンに、Appleによって認証された悪意のあるコードが含まれていることに気付きました。この認証により、インストーラーはAppleの組み込みセキュリティ機能Gatekeeperによってブロックされなくなります。ユーザーがクリックすると、インストーラーはそのまま実行され、システムにペイロードを送り込んでしまいます。
ウォードル氏は、マルウェアに含まれる承認済みのコードが、Macユーザーにとって最大の悪質な脅威と言われているShlayerアドウェアによって使用されていることを確認した。Shlayerはウェブトラフィックを傍受し、広告を独自の広告に置き換えることで、運営者に不正な利益をもたらす。
ウォードル氏はブログ記事で指摘したように、今回の承認は「初めてのことだ」と述べている。Apple側は、認証はアプリの審査ではないとしている。これはマルウェアやコード署名の問題をスキャンする、はるかに迅速で自動化されたプロセスだ。
要するに、Appleの認証プロセスは、提出時に悪意のあるコードを検出できなかったのです。つまり、このマルウェアはMacデバイス、さらにはmacOS Big Surのベータ版を実行しているデバイスでも実行することが承認されたのです。
ウォードル氏からの連絡を受け、Appleはマルウェアの認証を取り消した。TechCrunchへの声明で、Appleはウォードル氏の努力を称賛した。
悪意のあるソフトウェアは常に変化しており、Appleの認証システムはMacからマルウェアを排除し、発見された際には迅速な対応を可能にしています。今回のアドウェアの存在を知り、特定された亜種を無効化し、開発者アカウントを無効化し、関連する証明書を無効化しました。ユーザーの安全を守るためにご尽力いただいた研究者の皆様に感謝申し上げます。
Appleが認めているように、マルウェアは常に変化しているため、悪意のある人物が再び悪意のあるペイロードをAppleの認証プロセスに提出する可能性が高い。Wardle氏は、少なくとも一部のペイロードは認証される可能性があると述べた。
