Apple vô tình ủy quyền phần mềm độc hại phổ biến trên thiết bị Mac

Apple được cho là đã vô tình phê duyệt phần mềm độc hại phổ biến được ngụy trang dưới dạng bản cập nhật cho Adobe Flash Player để chạy trên macOS. Phần mềm độc hại mới này được thiết kế để vượt qua các kiểm soát công chứng nghiêm ngặt của Apple

Hệ thống bảo mật của Apple bị phát hiện đã ủy quyền nhầm cho một phần mềm độc hại, cho phép ứng dụng này chạy miễn phí trên các thiết bị macOS.

Kể từ tháng 2, Apple đã yêu cầu tất cả các ứng dụng chạy trên macOS (bao gồm cả các ứng dụng có nguồn từ bên ngoài Mac App Store) phải được kiểm tra đầy đủ trước khi người dùng có thể tải và cài đặt về máy. Tuy nhiên, một phần mềm độc hại tên là Shlayer đã phá vỡ các lớp bảo mật này.

Từ trước đến nay Apple được biết đến là nhà sản xuất các thiết bị an toàn nhất và cũng không gặp phải các mối đe dọa mạng như hệ điều hành Windows.

Về mặt kỹ thuật, những phần mềm độc hại được thiết kế để nhắm vào các thiết bị Windows và không thể chạy trên macOS. Tuy nhiên các thiết bị của Apple vẫn có thể dễ dàng bị tấn công bởi những mối đe dọa tương tự.

Trong trường hợp này, những kẻ tấn công chọn các thiết bị macOS làm mục tiêu. Shlayer được thiết kế để chặn các truy vấn của trình duyệt và đưa quảng cáo vào kết quả tìm kiếm, tạo ra doanh thu đáng kể cho nhà phát triển.

Shlayer trước đây được phát tán bởi hơn 1.0000 website, mỗi trang web đều ngụy trang bản tải xuống theo một kiểu hơi khác nhau. Có thời điểm 10% tổng số máy tính Mac chứa phần mềm độc hại Shlayer.

10 mối đe dọa hàng đầu với macOS từ tháng 1 đến tháng 11 năm 2019

Chiến dịch phát tán mới nhất của phần mềm độc hại này được phát hiện bởi sinh viên đại học Peter Dantini, người đã tình cờ tải xuống Shlayer trên trang Adobe Flash giả mạo. Dantini cho biết macOS hoàn toàn không can thiệp khi anh ấy cố tình tải xuống phần mềm độc hại này.

Dantini đã gửi phát hiện của mình cho nhà nghiên cứu bảo mật Patrick Wardle - người gần đây đã xác định một chuỗi lỗi có thể được sử dụng để chiếm quyền điều khiển thiết bị Mac nhằm điều tra thêm và liên lạc với Apple.

Wardle nói: “Tôi đã mong đợi rằng nếu ai đó lạm dụng hệ thống công chứng thì đó sẽ là một thứ tinh vi hoặc phức tạp hơn. Nhưng dựa trên thực tế, tôi không ngạc nhiên khi chính phần mềm quảng cáo đã làm điều này đầu tiên. Các nhà phát triển phần mềm quảng cáo rất sáng tạo và không ngừng phát triển, bởi vì họ sẽ mất rất nhiều tiền nếu không vượt qua các biện pháp bảo vệ mới của hệ điều hành”.

Apple đã được thông báo về vấn đề này vào ngày 28 tháng 8 và công ty đã thu hồi chứng chỉ công chứng của Shlayer trong cùng ngày. Công ty cho biết: "Phần mềm độc hại liên tục thay đổi và hệ thống công chứng của Apple giúp chúng tôi loại bỏ phần mềm độc hại khỏi thiết bị Mac cũng như cho phép chúng tôi phản hồi nhanh chóng khi phát hiện lỗi bảo mật."

"Khi được báo cáo về phần mềm quảng cáo này, chúng tôi đã thu hồi ngay và vô hiệu hóa tài khoản nhà phát triển cũng như các chứng chỉ liên quan. Chúng tôi cảm ơn các nhà nghiên cứu đã hỗ trợ trong việc giữ an toàn cho người dùng”.

Tuy nhiên, Wardle phát hiện ra rằng Shlayer vẫn chưa bị xóa hoàn toàn và hoạt động hai ngày sau đó. Phần mềm được công chứng bằng một ID nhà phát triển Apple khác. Hiện vẫn chưa rõ bằng cách nào Shlayer tiếp tục đánh lừa quá trình kiểm duyệt ứng dụng.

Thiên Thanh (T/h)