Mac’inizdeki yerleşik kötü amaçlı yazılım tespit araçları, düşündüğünüzden daha iyi çalışmayabilir. Las Vegas’taki Defcon hacker konferansında, uzun süredir Mac güvenlik araştırmacısı olan Patrick Wardle, Apple’ın macOS Arka Plan Görev Yönetimi mekanizmasındaki güvenlik açıkları hakkında bulgularını sunarak, şirketin yeni eklenen izleme aracını atlatmaya ve böylece yenilgiye uğratmaya yönelik saldırıları ortaya çıkardı.
Kötü amaçlı programlar, web tarayıcınız veya sohbet uygulamanız gibi yazılımlardan başka bir şey olmadığı için, bilgisayarlardaki kötü amaçlı yazılımları mükemmel bir doğrulukla tespit etmek için kesin bir yöntem bulunmamaktadır. Yasadışı programları meşru programlardan ayırmak zor olabilir. Bu nedenle, Microsoft, Apple ve üçüncü taraf güvenlik şirketleri gibi işletim sistemi üreticileri her zaman yeni tespit mekanizmaları ve potansiyel olarak kötü amaçlı yazılım davranışlarını tespit edebilecek araçlar geliştirmeye çalışmaktadır.
Apple’ın Arka Plan Görev Yönetimi aracı, yazılımın “kalıcılığını” izlemeye odaklanır. Kötü amaçlı yazılım, bir cihazda geçici olarak veya bilgisayar yeniden başlatıldığında sadece kısa bir süre çalışacak şekilde tasarlanabilir. Ancak daha derin bir şekilde kendini kurabilir ve hedef cihazda kapanıp yeniden başlatıldığında bile “kalıcı” olabilir. Birçok meşru yazılım, tüm uygulamalarınızın, verilerinizin ve tercihlerinizin her seferinde kaldığınız gibi görünmesi için kalıcılığa ihtiyaç duyar. Ancak yazılım beklenmedik bir şekilde veya neden belli olmadan kalıcılık sağlarsa, bunun kötü amaçlı bir işaret olabileceği düşünülebilir.
Bu nedenle, Apple, Ekim 2022’de piyasaya sürülen macOS Ventura’da Arka Plan Görev Yöneticisi’ni ekledi. Bu araç, bir “kalıcılık olayı” meydana geldiğinde hem kullanıcılara doğrudan bildirim gönderir hem de sistemde çalışan üçüncü taraf güvenlik araçlarına bildirim gönderir. Bu sayede, yeni bir uygulama indirdiğinizi ve yüklediğinizi biliyorsanız, mesajı yok sayabilirsiniz. Ancak yapmadıysanız, hesabınızın tehlikeye atılmış olabileceği ihtimalini araştırabilirsiniz.
Wardle, Defcon bulgularıyla ilgili olarak, “Bir şeyin kalıcı olarak kendini kurduğunda size bildirim gönderen bir araca ihtiyaç vardı, Apple’ın bunu eklemesi iyi bir şey, ancak uygulama o kadar kötü bir şekilde yapıldı ki, nispeten sofistike olan herhangi bir kötü amaçlı yazılım izlemeyi kolayca atlayabiliyor” diyor.
Apple’a hemen yorum için ulaşılamadı.
Objective-See Vakfı’nın bir parçası olarak, ücretsiz ve açık kaynaklı macOS güvenlik araçları sunan Wardle, yıllardır benzer bir kalıcılık olayı bildirim aracı olan BlockBlock’u sunuyor. “Benzer araçlar yazdığım için, araçlarımın karşılaştığı zorlukları biliyorum ve Apple’ın araçlarının ve çerçevelerinin de aynı sorunları çözmesi gerektiğini merak ettim ve gerçekten öyle” diyor. “Kötü amaçlı yazılım hala tamamen görünmez bir şekilde kalabilir.”
Arka Plan Görev Yöneticisi ilk çıktığında, Wardle aracın daha temel sorunlarını keşfetti ve kalıcılık olayı bildirimlerinin başarısız olmasına neden olan bir hata rapor etti. Bunları Apple’a bildirdi ve şirket hata düzeltti. Ancak şirket, araçtaki daha derin sorunları tespit etmedi.
Wardle, “İlerlemeyi geri geri gittik ve sonunda o sorunu düzelttiler, ancak bu, bir uçak düşerken üzerine bant yapıştırmak gibiydi” diyor. “Özelliğin çok çalışma gerektirdiğini fark etmediler.”