Apple、Macを標的としたマルウェアを誤って承認していた

macos-mojave-unidentified-developer-alert-dark
 
Appleといえば、Mac App Storeで配布するアプリを厳しく精査することで知られています。App Store以外からインストールした場合も、信頼できるソフトウェアだけがMacで実行されるよう、Gatekeeperという技術を採用しています。
 
しかしセキュリティ研究者の報告から、Appleのセキュリティチェックを、マルウェアがすり抜けていたことが判明しました。

macOSのセキュリティチェック

Mac用のアプリ、プラグイン、インストーラパッケージをApp Store以外からインストールした場合、macOSはデベロッパIDの署名とノータリゼーション(公証)の状態を調べて、ソフトウェアがIDを取得済みの開発元のものであることや、改ざんされていないことを確認します。
 
このセキュリティチェックを通過できないアプリを開こうとすると、警告メッセージが表示されます。

Appleがトロイの木馬型マルウェアを承認

しかしMacセキュリティ研究者として知られるパトリック・ワードル氏が、Adobe Flashインストーラに見せかけた1つのマルウェアが、Appleによって承認されていたことを発見しました。
 
ワードル氏が確認したところ、Appleは2019年頃から広く出回っているマルウェア「Shlayer」で使われているコードを検出できず、誤って承認していたことを認めました。Shlayerはトロイの木馬型のマルウェアで、不正なリンクをクリックさせて偽のFlashのインストールを求めるというものです。
 
セキュリティ企業Kasperskyは今年1月、macOSユーザーが感染しやすいマルウェアとして、このShlayerを1位に挙げています
 
ただしワードル氏によれば、Appleのセキュリティチェックをすり抜けたマルウェアを発見したのは今回が初めてとのことです。

いたちごっこが続く

Appleはワールド氏からの報告を受けてすぐに承認を解除、同マルウェアが実行できないようにしました。しかし攻撃者はその後すぐに新たなコードを開発してチェックをくぐり抜け、それを再びAppleがブロックするという、まさに「いたちごっこ」が続いているようです。

 
 
Source:TechCrunch,Apple
(lunatic)