Mac內置的一款惡意軟體檢測工具可能無法正常起效。在本屆於拉斯維加斯舉行的Defcon駭客大會上,Mac安全資深研究員Patrick Wardle公布了關於蘋果macOS後台任務管理機制中的重大發現。該機制可能被繞過,導致蘋果最近添加的監控工具無法起效。
誠然,並沒有什麼萬無一失的方法能夠完美捕捉電腦上的惡意軟體。因為從本質上講,惡意軟體也是一種軟體,跟我們的網路瀏覽器或者聊天應用一樣。準確區分合規軟體和違規軟體往往相當困難,所以微軟和蘋果等作業系統開發商、加上其他第三方安全公司,才一直在努力開發新的檢測機制和工具,希望以新的方式發現設備上的潛在惡意行為。
蘋果的後台任務管理工具就專注於監控軟體的「持久化」。一般來說,惡意軟體在設計上強調短暫運行,即具有明確的運行周期、或者在電腦重新啟動後便停止。當然,某些惡意軟體也可能在設計上更為深入,會在電腦關閉並重新啟動之後再次運轉以持續執行惡意操作。從這個角度看,大多數合法軟體都明確需要持久化,因此在每次開啟設備時,所有應用程序、數據和首選項都會顯示為之前離開時的狀態。但如果軟體意外表現出了不該存在的持久化,就有可能是惡意行為的跡象。
考慮到這一點,蘋果在2022年10月推出的macOS Ventura中添加了後台任務管理器,以便在發生「持久化事件」時直接向用戶和系統上運行的第三方安全工具發送通知。如此一來,假設用戶剛剛下載並安裝了新應用,則可忽略該消息;但如果就是如平常般使用,則應警惕系統受到入侵損害的可能性。
Wardle在Defcon大會上公布發現時表示:「蘋果的思路是當有某些東西持續自行安裝時,應該有工具向用戶發出通知。想得確實挺好,但具體實施做得太差了,導致任何稍微複雜點的惡意軟體都能輕鬆繞過監控。」
作為專為macOS提供免費開源工具的Objective-See基金會的一員,Wardle多年來一直在開發類似的持久化事件通知工具(名為BlockBlock),他表示:「我編寫過類似的工具,所以我知道自己的工具面臨著怎樣的挑戰,而且好奇蘋果的官方工具和框架有沒有遇到同樣的問題。事實證明,確實遇到了。惡意軟體仍可在特定的環境中持久存在,而且對監控機制來說完全不可見。」
在後台任務管理器首次推出時,Wardle就發現這款工具存在一些基本問題,導致持久化事件通知失敗。他向蘋果上報了問題,蘋果方面也修復了錯誤。但很遺憾,蘋果方面並沒有發現工具中存在的更深層次的隱患。
Wardle指出:「我們反覆討論,他們最終解決了這個問題。但這就像是為了防止飛機墜毀而給外殼貼了幾張膠帶一樣。他們沒有意識到,徹底解決這個問題需要開展大量工作。」
Wardle周六提出的繞過方法之一,要求對目標設備進行root訪問,就是說攻擊者需要掌握完全控制權才能阻止用戶接收到持久化警報。雖然門檻較高,但入侵者有時候確實能獲得對目標的高訪問權限,一旦停止通知並在系統上安裝更多惡意軟體,引發的後果將不可設想。所以必須對這種潛在攻擊方式做出修補。
更令人擔憂的是,Wardle還發現了兩種路徑,無需root訪問權限即可禁用後台任務管理器,導致其無法正常向用戶和安裝監控產品發布持久化通知。其中一種利用到警報系統與電腦作業系統核心間通信方式的bug。另一種則允許用戶(即使不具備深層系統權限)將進程置於休眠狀態。Wardle發現,攻擊者可以操縱此功能來中斷持久化通知,避免用戶正確收到警報。
Wardle解釋道,他之所以選擇在Defcon上發布、而未提前通知蘋果公司,是因為他之前已經向蘋果方面通報了後台任務管理器的缺陷,因此蘋果早就知道需要更全面地提高工具的整體質量。他還補充稱,一旦成功繞過監控,那麼macOS的安全水平將立即回落到一年前的水平,相當於不受這項新功能的保護。他同時強調,蘋果不應倉促發布這些未經充分測試的監控工具,因為它們的存在很可能給用戶甚至是安全供應商營造一種虛假的安全感。
