Zašto Appleovi zaštitni mehanizmi mogu propustiti malver iWorm

Vesti, 05.11.2014, 11:31 AM

Posle otkrića malvera iWorm koji je zarazio hiljade računara krajem septembra, Apple je objavio ažuriranje za svoj XProtect antivirusa za detekciju ovog malvera. Ali ažuriranje detektuje samo kada je instaler iWorma pokrenut, što se dešava samo jednom, upozorio je direktor istraživanja u kompaniji Synack Patrik Vordl.

To znači da su računari koji su već inficirani ovim malverom pre objavljivanja ažuriranja možda još uvek kompromitovani.

"Apple je objavio virusnu definiciju, ali to nije rešilo problem", kaže Vordl. “Osim ako korisnik nema instaliran neki drugi antivirusni proizvod koji ima ispravnu virusnu definiciju, ove infekcije neće nestati.”

iWorm koji je backdoor može da ukrade podatke sa računara, prema podacima ruske kompanije Dr. Web zarazio je više od 18000 računara. On ne koristi nijednu ranjivost u Mac OS X već računa sa tim da prevari korisnike i natera ih da ga instaliraju.

Malver je otkriven u piratskim kopijama Adobe Photoshopa i Illustratora, softvera Parallels Desktop i Microsoft Office za Mac koje su se nudile na Pirate Bay.

Zašto je Apple odlučio da objavi samo virusnu definiciju za iWorm instaler još uvek nije jasno.

Vordl ističe da je ovo opasno i zbog toga što druga Appleova bezbednosna tehnologija, “Gatekeeper”, takođe u nekim slučajevima može da propusti iWorm.

Kada korisnik preuzme neku aplikaciju, Gatekeeper proverava da li ona ima digitalni potpis koji govori da ona dolazi iz Appleove prodavnice aplikacija ili da li ima sertifikat odobrenog programera. Ako ni jedno ni drugo nije slučaj, Gatekeeper upozorava da aplikacija može pretstavljati bezbednosni rizik, ali je na korisniku da odluči da li će je pokrenuti ili ne.

Ali samo će neki programi, uključujući Safari, Firefox i Chrome, označiti fajlove kao sumnjive, tako da ih Gatekeeper pregleda. Ako neko preuzme fajl koristeći uTorrent, popularni program za preuzimanje torenta sa Pirate Bay, on neće proći proveru Gatekeepera, kaže Vordl.

On kaže da nije kontaktirao Apple u vezi ovih svojih otkrića, ali je dodao da je Apple verovatno svestan slabosti Gatekeepera i da je po svemu sudeći način na koji on radi bila svesna odluka.

Sve u svemu, ovo znači da će autori malvera i dalje moći da koriste prednosti metode koju koristi iWorm.

“Na žalost, iWorm je u stanju da zaobiđe Appleove anti-malver mere relativno lako”, kaže Vordl. “To pokazuje da je malver na OS X problem. I da Mac računari nisu imuni na malvere.”