O macOS possui várias ferramentas integradas para detectar malware. No entanto, um pesquisador de segurança diz que isso pode ser ignorado e que a Apple falhou em seguir suas recomendações para corrigi-lo. De acordo com o pesquisador, um malware para Mac pode facilmente contornar o Gerenciador de tarefas em segundo plano da Apple.
De acordo com Patrick Wardle, um Malware para Mac pode facilmente contornar o Gerenciador de tarefas em segundo plano da Apple. Ele apresentou suas descobertas na conferência de hackers Defcon, tomando a decisão incomum de fazê-lo sem avisar a Apple com antecedência.
Proteção de três camadas da Apple contra malware do Mac
A Apple possui um sistema de três camadas para proteger os Macs contra malware. Em primeiro lugar, procura impedir a instalação de malware. Ele faz isso verificando os aplicativos na Mac App Store e usando o Gatekeeper com Notarização para garantir que todos os outros aplicativos sejam assinados por um desenvolvedor reconhecido.
Em segundo lugar, se o malware passar por essa camada, ele usará o XProtect para reconhecer o malware e impedir sua execução. O macOS inclui uma tecnologia antivírus integrada chamada XProtect para detecção e remoção de malware baseada em assinatura. O sistema usa assinaturas YARA, uma ferramenta usada para conduzir a detecção de malware baseada em assinaturas, que a Apple atualiza regularmente. A Apple monitora novas infecções e cepas de malware e atualiza as assinaturas automaticamente para ajudar a defender um Mac contra infecções por malware. O XProtect detecta e bloqueia automaticamente a execução de malware conhecido.
Por último, mesmo que o malware tenha sido executado uma vez, a Apple procura impedir que isso aconteça no futuro. A empresa atualiza frequentemente o XProtect para procurar por malware recém-identificado. Além disso, a empresa introduziu no ano passado um gerenciador de tarefas em segundo plano, que procura a forma mais perigosa de malware: aplicativos que persistem.
Gerenciador de tarefas em segundo plano e os malwares
Alguns malwares são executados uma vez, por exemplo, para roubar dados pessoais, e depois são encerrados. Mas a forma mais perigosa de malware persiste. Essa forma de malware pode monitorar a atividade contínua do usuário, baixar novos elementos do servidor de um invasor e muito mais.
Notícias Relacionadas
A Apple procura detectar isso procurando a instalação de novas tarefas persistentes e notificando os usuários e as ferramentas de segurança de terceiros em execução no Mac.
Como muitos aplicativos legítimos criam tarefas persistentes, você não deve se preocupar se instalar um novo aplicativo da Mac App Store ou de um desenvolvedor confiável e receber este alerta. Mas se um alerta surgir do nada, é sinal de que seu Mac pode ter sido comprometido.
O pesquisador de segurança Patrick Wardle notificou no ano passado a Apple sobre uma série de falhas que descobriu na forma como isso funciona. Ele sabe algumas coisas sobre os desafios de implementar esse tipo de proteção, pois já havia criado sua própria ferramenta para fazer o mesmo trabalho. Mas ele disse à Wired que a Apple falhou em abordar as questões mais fundamentais que discutiu com a empresa.
Quando o Gerenciador de tarefas em segundo plano estreou, Wardle descobriu alguns problemas mais básicos com a ferramenta que causavam falhas nas notificações de eventos de persistência. Ele os relatou à Apple e a empresa corrigiu o erro. Mas a empresa não identificou problemas mais profundos com a ferramenta.
Desvios do gerenciador de tarefas em segundo plano revelados
Normalmente, Wardle só compartilharia detalhes de exploits depois que a Apple os corrigisse. Nesse caso, porém, ele diz que a empresa parece não ter interesse em fazê-lo e, portanto, optou por compartilhar na conferência de hackers Defcon os desvios que descobriu.
