Beveiligingsonderzoekers hebben malware ontdekt die onopzettelijk is goedgekeurd door Apple. Peter Dantini en Patric Wardle, bekende beveiligingsonderzoekers voor Apple-producten, ontdekte de malware vermomd als Adobe Flash installer. Klaarblijkelijk is de kwaadaardige software door het strenge beveiligingsregime van Apple gekomen.
Normaal hanteert Apple enorm strenge regels om te voorkomen dat kwaadaardige software in de App Store terechtkomt. Vorig jaar maakte Apple zijn processen zelfs nog iets strenger en verplichtte het developers om hun apps aan te melden voor beveiligingschecks om ongehinderd te draaien op Macs.
Apple noemt dit hele proces ‘notarization’. Apple scant een app voor beveiligingsproblemen en kwaadaardige content. Wanneer een applicatie door de test komt, geeft Gatekeeper, de ingebouwde beveiligingssoftware in Macs, de app toestemming om te draaien. Applicaties die niet door de beveiligingstest komen, worden geweigerd en geblokkeerd. Deze apps kunnen niet zomaar draaien op Macs.
Eerste keer dat malware door de beveiliging kwam
Wardle ontdekte dat Apple per ongeluk code van de populaire Shlayer malware heeft toegestaan. Volgens beveiligingsbedrijf Kaspersky is deze malware de meest voorkomende bedreiging waar Macs in 2019 mee te maken hadden.
Shlayer is een adware die versleuteld webverkeer onderschept en vervolgens websites en zoekresultaten vervangt met zijn eigen advertenties. Op deze manier levert de malware geld op voor de beheerders.
“Voor zover mij bekend is dit een eerste keer”, schreef Wardle in een blogartikel. Apple slaagde er niet in de kwaadaardige code te detecteren toen hackers deze indienden bij de App Store. Zelfs de onuitgebrachte betaversie van het nieuwe besturingssysteem Big Sur detecteerde de malware niet.
Nieuwe dreiging op de loer
Een woordvoerder van Apple vertelt TechCrunch in een statement: “Kwaadaardige software verandert constant. Het notarizatiesysteem van Apple helpt ons om te zorgen dat malware niet kan draaien op Macs en maakt het mogelijk om snel te reageren wanneer het toch ontdekt wordt. Zodra we van het bestaan van deze adware wisten, draaiden we de toestemming terug, blokkeerden we het ontwikkelaars-account en trokken we de bijbehorende certificaten in.”
Het hele verhaal heeft nog een staartje, want Wardle maakte bekend dat de aanvallers al binnen korte tijd terug ware met een nieuwe payload die wederom in staat was om de beveiliging van Apple te omzeilen. Apple bevestigde ook deze payload geblokkeerd te hebben.