Ne halogassuk az különböző macOS operációs rendszerek frissítését, mivel azzal egy komoly nulladik napi fenyegetettséget szüntetünk meg. Az almás óriás által sürgősen javított, CVE-2021-30713-mas kódnevű sérülékenységet az XCSSET kártevő használta ki.

Engedéllyel működő alkalmazásokat használ ki

A kártevő érdekes módon kerülte meg az Apple erős védelmét, melyet az alkalmazások köré épített ki: olyan, már telepített alkalmazásokat keres, amelyek esetében a felhasználó engedélyezték, hogy képernyőképeket készítsenek. Az olyan népszerű alkalmazások, mint a Zoom, Discord, Skype vagy TeamViewer számára a mindennapi működés részét képezheti az automatikus képernyőkép készítése.

Miután az AppleScript-ben készült kártevő megtalálja ezeket az alkalmazásokat, káros szándékú parancssorokat küld nekik, melyben arra utasítja őket, hogy tegyék dolgukat, azaz készítsenek képernyőképeket. A kártevő megírásakor vigyáztak arra is, hogy az viselkedésével ne keltse fel az Apple operációs rendszerébe alapból beépített biztonsági mechanizmusok gyanúját.

Ellátási lánc támadás van a háttérben

A vírus működését tanulmányozó kutatók szerint ezt a technikát nemcsak képernyő felvételek készítésére lehet használni, hanem hozzá lehet férni a számítógép mikrofonjához, webkamerájához vagy a billentyűzeten beírt szöveget is meg lehet szerezni. Mindehhez nem szükséges a felhasználó engedélye. Vagyis a megfertőzött számítógép nyitott könyvvé válhat a támadók előtt, minden jelszót és banki adatot könnyedén el tudnak lopni.

Az esetben az is érdekes, hogy a kutatók szerint a kártevő főként a Mac fejlesztőket célozza meg, megpróbál elbújni az általuk fejlesztett programok forráskódjában. Egyes Xcode projekteket a fejlesztők megosztanak egymással vagy a nagyközönséggel – így a kártevő egy megbízhatónak hitt alkalmazás segítségével jut az áldozat gépére, ami az ellátási lánc támadás tipikus esete.

A nulladik napi fenyegetettségre az Apple gyorsan reagált, és az egyébként tervezett frissítések tartalmazzák a hiba javítását – így az macOS rendszerek azonnali frissítését javasoljuk.

Elfogadhatatlanul sok az almás kártevő

Az Apple szoftverfejlesztésért felelős alelnöke, Craig Federighi elfogadhatatlannak tartja a macOS felhasználókat támadó kártevők számát. Az alelnök egy bírósági perben adott nyilatkozata szerint szerint már 130 különböző olyan kártevőt találtak, mely több százezer felhasználó gépét fertőzte meg. Ahhoz, hogy a fejlesztők saját alkalmazásokat tudjanak gyártani a Mac számítógépekre, az Apple is kénytelen volt megnyitni operációs rendszerét a programozók előtt.

Ezzel szemben a mobil eszközökön futó iOS operációs rendszer esetében 2020-ban csupán három kártevőt találtak. Az iOS sokkal zártabb ökoszisztéma, alkalmazásokat csak a hivatalos AppStore-ból lehet telepíteni, ha a gyártó támogatását élvező, nem feltört készülékeket használjuk.

Az iOS sérülékenységről bővebben itt olvashat.