.
Uma das ferramentas integradas de detecção de malware do seu Mac pode não estar funcionando tão bem quanto você pensa. Na conferência de hackers Defcon em Las Vegas, Patrick Wardle, pesquisador de segurança do Mac de longa data, apresentou descobertas no sábado sobre vulnerabilidades no mecanismo de gerenciamento de tarefas em segundo plano do macOS da Apple, que podem ser exploradas para contornar e, portanto, derrotar a ferramenta de monitoramento recentemente adicionada da empresa.
Não existe um método infalível para capturar malware em computadores com precisão perfeita porque, em sua essência, os programas maliciosos são apenas software, como seu navegador da Web ou aplicativo de bate-papo. Pode ser difícil distinguir os programas legítimos dos transgressores. Portanto, fabricantes de sistemas operacionais como Microsoft e Apple, bem como empresas de segurança terceirizadas, estão sempre trabalhando para desenvolver novos mecanismos e ferramentas de detecção que possam detectar comportamentos de software potencialmente maliciosos de novas maneiras.
A ferramenta de gerenciamento de tarefas em segundo plano da Apple concentra-se em observar a “persistência” do software. O malware pode ser projetado para ser efêmero e operar apenas brevemente em um dispositivo ou até que o computador seja reiniciado. Mas também pode ser construído para se estabelecer mais profundamente e “persistir” em um alvo mesmo quando o computador é desligado e reiniciado. Muitos softwares legítimos precisam de persistência para que todos os seus aplicativos, dados e preferências apareçam como você os deixou sempre que ligar o dispositivo. Mas se o software estabelecer persistência inesperadamente ou do nada, pode ser um sinal de algo malicioso.
Com isso em mente, a Apple adicionou o Gerenciador de tarefas em segundo plano no macOS Ventura, lançado em outubro de 2022, para enviar notificações diretamente aos usuários e a qualquer ferramenta de segurança de terceiros em execução em um sistema, caso ocorra um “evento de persistência”. Dessa forma, se você souber que acabou de baixar e instalar um novo aplicativo, poderá desconsiderar a mensagem. Mas se não o fez, você pode investigar a possibilidade de ter sido comprometido.
“Deve haver uma ferramenta [that notifies you] quando algo se instala persistentemente, é bom que a Apple tenha adicionado, mas a implementação foi feita tão mal que qualquer malware um tanto sofisticado pode ignorar trivialmente o monitoramento”, diz Wardle sobre suas descobertas no Defcon.
A Apple não pôde ser imediatamente contatada para comentar.
Como parte de sua Objective-See Foundation, que oferece ferramentas de segurança macOS gratuitas e de código aberto, Wardle oferece há anos uma ferramenta semelhante de notificação de eventos de persistência conhecida como BlockBlock. “Como escrevi ferramentas semelhantes, conheço os desafios que minhas ferramentas enfrentaram e me perguntei se as ferramentas e estruturas da Apple teriam os mesmos problemas para resolver — e têm”, diz ele. “O malware ainda pode persistir em um maneira que é completamente invisível.”
Quando o Gerenciador de tarefas em segundo plano estreou, Wardle descobriu alguns problemas mais básicos com a ferramenta que causavam falhas nas notificações de eventos de persistência. Ele os relatou à Apple e a empresa corrigiu o erro. Mas a empresa não identificou problemas mais profundos com a ferramenta.
“Nós fomos e voltamos e, por fim, eles resolveram o problema, mas foi como colocar fita adesiva em um avião enquanto ele está caindo”, diz Wardle. “Eles não perceberam que o recurso precisava de muito trabalho.”
Um dos desvios que Wardle apresentou no sábado requer acesso root ao dispositivo de um alvo, o que significa que os invasores precisam ter controle total antes de impedir que os usuários recebam alertas de persistência. É importante corrigir o bug relacionado a esse possível ataque porque, às vezes, os hackers podem obter esse nível de acesso a um alvo e podem ser motivados a interromper as notificações para que possam instalar quanto malware quiserem em um sistema.
Mais preocupante é que Wardle também encontrou dois caminhos que não requerem acesso root para desabilitar as notificações de persistência que o Background Task Manager deve enviar ao usuário e aos produtos de monitoramento de segurança. Uma dessas explorações tira proveito de um bug na forma como o sistema de alerta se comunica com o núcleo do sistema operacional de um computador conhecido como kernel. O outro capitaliza uma capacidade que permite aos usuários, mesmo aqueles sem privilégios profundos no sistema, colocar os processos em hibernação. Wardle descobriu que esse recurso pode ser manipulado para interromper as notificações de persistência antes que elas cheguem ao usuário.
Wardle diz que optou por liberar esses bugs no Defcon sem primeiro notificar a Apple porque já havia notificado a empresa sobre falhas no Background Task Manager que poderiam ter levado a melhorar a qualidade geral da ferramenta de forma mais abrangente. Ele acrescenta, também, que ignorar esse monitoramento simplesmente traz o estado de segurança do macOS de volta ao que era um ano atrás, antes do lançamento desse recurso. Mas ele observa que é problemático quando a Apple lança ferramentas de monitoramento que parecem apressadas ou precisam de mais testes, porque podem dar aos usuários e fornecedores de segurança uma falsa sensação de segurança.
Esta história apareceu originalmente em wired.com.
.
