System macOS uchodzi od lat za bardzo bezpieczny, głównie ze względu na ograniczoną, w porównaniu do komputerów z systemem Windows, liczbę złośliwego oprogramowania. Okazuje się, że wskutek źle sformułowanych przez Apple wytycznych złośliwe oprogramowanie mogło łatwo podszywać się pod to rzetelne i pozostawać nie wykryty przez oprogramowanie diagnostyczne.

Big 661b66a3 0568 4563 b4f8 509b46eb764a

Złośliwe programy mogły bowiem być rozpoznawane jako podpisane wystawionym przez Apple ważnym certyfikatem deweloperskim, choć w istocie tak nie było. W tym celu można było wykorzystać tzw. plik uniwersalny, będący w istocie paczką zawierającą wersje programu na różne platformy. Okazuje się, że wystarczyło podpisanie tylko jednego z plików, a konkretnie Match-0, znajdującego się w takiej uniwersalnej paczce by wiele programów diagnostycznych i antywirusowych dla Maca traktowało całą aplikację jako podpisaną ważnym certyfikatem wystawionym przez Apple, podczas gdy w różnych wersjach programu zaszyty mógł być złośliwy kod.

Wśród aplikacji diagnostycznych, które w taki właśnie sposób sprawdzały aplikacje znalazły się m.in. VirusTotal, Google Santa, Facebook OSQuery, Little Snitch Firewall, OSXCollector, Carbon Black’s db Response.

Zdaniem Patrica Wardle z Objective-See, autora wielu tego typu programów zabezpieczających komputery Mac przed różnymi zagrożeniami, problem jest wynikiem niejasnych wytycznych i sugestii Apple co do używania odpowiedniego API. Faktycznie, firma już zaktualizowała dokumentację, teraz deweloperzy muszą zaktualizować swoje aplikacje.

Źródło: ArsTechnica