Håller Apple viktig information om malware -attacker dolda för antivirusföretag? En framstående säkerhetsforskare tror att det kan vara så.
Patrick Wardle, om vars upptäckter vi har skrivit många gånger i Tom's Guide, analyserade förra månaden en ny stam av Mac -skadlig kod som heter Windshift. Han märkte att Apple hade återkallat det digitala certifikatet som låter skadlig programvara installeras på Mac. Det är bra.
Men när Wardle kontrollerade VirusTotal, ett onlineförråd med känd skadlig kod, kunde bara två av ett 60-tal antivirusprogram för att upptäcka skadlig kod upptäcka Windshift. Ingen av malware -motorerna upptäckte tre andra Windshift -varianter.
För Wardle kan detta bara betyda en sak: Apple hittade skadlig kod utan att berätta för antivirusföretag om det. Det är dåligt, för alla som redan var smittade kanske aldrig har fått reda på det. I antivirusvärlden ska du dela sådan information ASAP för att upprätthålla flockimmunitet.
"Betyder detta att Apple inte delar värdefull malware/hot-intel med AV-community, vilket förhindrar skapandet av utbredda AV-signaturer som kan skydda slutanvändare ?!" Frågade Wardle i sitt blogginlägg. "Ja."
Windshift verkar rikta in sig på specifika individer i Mellanöstern som en del av en statligt sponsrad spionage-kampanj. Det avslöjades först av DarkMatter -forskaren Taha Karim vid Hack in the Box GSEC -konferensen i Singapore i augusti förra året.
Skadlig programvara infekterar Mac från skadliga webbplatser i en flerstegsprocess, vars sista steg, liksom de flesta Mac -skadliga program, innebär att man lurar användaren att låta skadlig programvara installeras.
För att göra detta bedrägeri enklare presenterar Windshift sig som olika Microsoft Office för Mac -dokument, komplett med vackra Office -ikoner. Den version Karim detaljerade, och som Wardle först tittade på, låtsas vara en komprimerad PowerPoint -presentation som heter Meeting_Agenda.zip.
Den 20 december sökte Wardle efter den filen på VirusTotal och hittade en matchning bland de miljontals prover av misstänkt programvara som laddades upp till webbplatsen. VirusTotal -provet hade en "hash" eller en matematisk sammanfattning av dess kod, med vilken du kan identifiera skadlig programvara.
Wardle körde haschen genom VirusTotals samling antivirusprogram för skadliga program och fann att endast Kaspersky- och ZoneAlarm -motorerna upptäckte det. Resten lät det gå, vilket betyder att de inte visste om det.
Han sökte sedan efter hash som var liknande och hittade ytterligare tre som presenterade sig som zippade Word -filer. Inga antivirusmotorer upptäckte dem. (Många fler antivirusmotorer upptäcker dem idag, tack vare Wardles blogginlägg.)
Men den 20 december hade Apple redan återkallat den digitala signaturen som krävs för att skadlig programvara ska installeras på Mac med standardsäkerhetsinställningar. Med andra ord verkade Apple ha känt till skadlig programvara innan antivirusföretagen gjorde det, men verkade inte ha berättat för antivirusföretagen.
Detta kanske inte verkar vara en stor grej för den vanliga datoranvändaren, men det är det. För att mjukvarutillverkare och antivirusföretag ska kunna skydda användare på rätt sätt mot skadlig kod måste alla vara på samma sida. Det är standard för alla inblandade att dela information så snart som möjligt - och Wardle antydde att Apple inte spelade rättvist.
Problemet med att upptäcka skadlig programvara "belyser att traditionell AV kämpar med ny/APT-skadlig kod på macOS … men också Apples hybris", sa Wardle till Ars Technicas Dan Goodin. "Vi har sett dem göra det här förut :( Det är nedslående, och någon måste ringa dem till det."
Tom's Guide har kontaktat Apple för kommentar, och vi kommer att uppdatera den här historien när vi får ett svar.
- Mac attackerade av nordkoreanska hackare: Vad man ska veta
- Bästsäljande Mac-app stjäl din webbhistorik
- Varför Apple iPhones inte behöver antivirusprogram