Apple, kötü amaçlı yazılım saldırıları hakkında önemli bilgileri antivirüs firmalarından saklıyor mu? Tanınmış bir güvenlik araştırmacısı bunun olabileceğini düşünüyor.
Tom's Guide'da keşifleri hakkında birçok kez yazdığımız Patrick Wardle, geçen ay Windshift adlı yeni bir Mac kötü amaçlı yazılım türünü analiz etti. Apple'ın, kötü amaçlı yazılımın Mac'lere yüklenmesine izin veren dijital sertifikayı iptal ettiğini fark etti. Bu iyi.
Ancak Wardle, bilinen kötü amaçlı yazılımların çevrimiçi bir deposu olan VirusTotal'ı kontrol ettiğinde, 60 küsur antivirüs kötü amaçlı yazılım algılama motorundan yalnızca ikisi Windshift'i tespit edebildi. Kötü amaçlı yazılım motorlarının hiçbiri, diğer üç Windshift varyantını tespit etmedi.
Wardle için bunun tek bir anlamı olabilir: Apple, virüsten koruma şirketlerine bundan bahsetmeden kötü amaçlı yazılım buldu. Bu kötü, çünkü zaten enfekte olmuş biri bunu asla öğrenemeyebilirdi. Virüsten koruma dünyasında, sürü bağışıklığını korumak için bu tür bilgileri en kısa sürede paylaşmanız gerekir.
"Bu, Apple'ın değerli kötü amaçlı yazılımları/tehdit bilgisini AV topluluğuyla paylaşmadığı ve son kullanıcıları koruyabilecek yaygın AV imzalarının oluşturulmasını engellemediği anlamına mı geliyor?!" Wardle, blog gönderisinde sordu. "Evet."
Windshift, devlet destekli bir casusluk kampanyasının bir parçası olarak Orta Doğu'daki belirli kişileri hedef alıyor gibi görünüyor. İlk olarak DarkMatter araştırmacısı Taha Karim tarafından geçen Ağustos ayında Singapur'daki Hack in the Box GSEC konferansında açıklandı.
Kötü amaçlı yazılım, Mac'lere kötü amaçlı web sitelerinden çok aşamalı bir işlemle bulaşır ve son adımı, çoğu Mac kötü amaçlı yazılımı gibi, kullanıcıyı kötü amaçlı yazılımın yüklenmesine izin vermesi için kandırmayı içerir.
Bu aldatmayı kolaylaştırmak için Windshift, kendisini güzel Office simgeleriyle tamamlanmış çeşitli Mac için Microsoft Office belgeleri olarak sunar. Karim'in ayrıntılandırdığı ve Wardle'ın ilk başta baktığı sürüm, Meeting_Agenda.zip adlı sıkıştırılmış bir PowerPoint sunumu gibi görünüyor.
20 Aralık'ta Wardle, VirusTotal'da bu dosyayı aradı ve siteye yüklenen milyonlarca şüpheli yazılım örneği arasında bir eşleşme buldu. VirusTotal örneğinde, kötü amaçlı yazılımı tanımlayabileceğiniz bir "karma" veya kodunun matematiksel özeti vardı.
Wardle, hash'i VirusTotal'ın antivirüs kötü amaçlı yazılım motorları koleksiyonunda çalıştırdı ve yalnızca Kaspersky ve ZoneAlarm motorlarının bunu algıladığını buldu. Gerisi akışına bıraktı, yani bunu bilmiyorlardı.
Daha sonra benzer karmaları aradı ve kendilerini sıkıştırılmış Word dosyaları olarak sunan üç tane daha buldu. Hiçbir antivirüs motoru bunları algılamadı. (Wardle'ın blog gönderisi sayesinde, bugün daha birçok antivirüs motoru bunları algılıyor.)
Ancak 20 Aralık'ta Apple, kötü amaçlı yazılımın varsayılan güvenlik ayarlarını kullanarak Mac'lere yüklenmesi için gereken dijital imzayı zaten iptal etmişti. Başka bir deyişle, Apple, kötü amaçlı yazılımdan virüsten koruma şirketlerinden önce haberdar görünüyordu, ancak virüsten koruma şirketlerine söylememiş gibi görünüyordu.
Bu, ortalama bir bilgisayar kullanıcısı için çok önemli görünmeyebilir, ama öyle. Yazılım üreticilerinin ve virüsten koruma şirketlerinin kullanıcıları kötü amaçlı yazılımlara karşı düzgün bir şekilde savunması için herkesin aynı fikirde olması gerekir. İlgili herkesin bilgileri mümkün olan en kısa sürede paylaşması standart bir çalışma uygulamasıdır ve Wardle, Apple'ın adil davranmadığını ima etti.
Wardle, Ars Technica'dan Dan Goodin'e verdiği demeçte, kötü amaçlı yazılım algılama sorunu "geleneksel AV'nin macOS'ta yeni/APT kötü amaçlı yazılımlarıyla mücadele ettiğini ve aynı zamanda Apple'ın kibrini vurguluyor" dedi. "Bunu daha önce yaptıklarını gördük :( Bu cesaret kırıcı ve birinin onları bu konuda araması gerekiyor."
Tom's Guide, yorum için Apple'a ulaştı ve bir yanıt aldığımızda bu hikayeyi güncelleyeceğiz.
- Kuzey Koreli Hackerların Saldırdığı Mac'ler: Bilmeniz Gerekenler
- En Çok Satan Mac Uygulaması Tarama Geçmişinizi Çalıyor
- Apple iPhone'ların Neden Antivirüs Yazılımına İhtiyacı Yok?