Ne halogassuk a macOS operációs rendszerek frissítését, csak így tudjuk megszüntetni a súlyos, nulladik napi fenyegetettséget. Az almás óriás által sürgősen javított, CVE-2021-30713-mas kódnevű sérülékenységet az XCSSET kártevő használta ki.
A kártevő érdekes módon kerülte meg az Apple erős védelmét, melyet az alkalmazások köré épített ki: már telepített olyan alkalmazásokat keres, amelyek esetében a használók engedélyezték, hogy képernyőképeket készítsenek. Az olyan népszerű alkalmazások, mint a Zoom, Discord, Skype vagy TeamViewer számára a mindennapi működés részét képezheti az automatikus képernyőkép készítése.
Miután az AppleScript-ben készült kártevő megtalálja ezeket az alkalmazásokat, káros szándékú parancssorokat küld nekik, arra utasítja őket, hogy tegyék dolgukat, azaz készítsenek képernyőképeket. A kártevő megírásakor vigyáztak arra is, hogy viselkedésével ne keltse fel az Apple operációs rendszerébe alapból beépített biztonsági mechanizmusok gyanúját.
A vírus működését tanulmányozó kutatók szerint ezt a technikát nemcsak képernyő-felvételek készítésére lehet használni, hanem hozzá lehet férni a számítógép mikrofonjához, webkamerájához vagy a billentyűzeten beírt szöveget is meg lehet szerezni. Mindehhez nem szükséges a használó engedélye. Vagyis a megfertőzött számítógép nyitott könyvvé válhat a támadók előtt, minden jelszót és banki adatot könnyedén el tudnak lopni.
Az is érdekes, hogy a kutatók szerint a kártevő főként a Mac-fejlesztőket célozza meg, megpróbál elbújni az általuk fejlesztett programok forráskódjában. Egyes Xcode-projekteket a fejlesztők megosztanak egymással vagy a nagyközönséggel – így a kártevő egy megbízhatónak hitt alkalmazás segítségével jut az áldozat gépére, ami az ellátásilánc-támadás tipikus esete.
A nulladik napi fenyegetettségre az Apple gyorsan reagált, és az egyébként tervezett frissítések tartalmazzák a hiba megszüntetését – így a macOS rendszerek azonnali frissítését javasoljuk.
Az Apple szoftverfejlesztésért felelős alelnöke, Craig Federighi elfogadhatatlannak tartja a macOS-használókat támadó kártevők számát. Az alelnök egy bírósági perben adott nyilatkozata szerint szerint már 130 olyan kártevőt találtak, amely sok százezer használó gépét fertőzte meg. Ahhoz, hogy a fejlesztők saját alkalmazásokat tudjanak gyártani a Mac-számítógépekre, az Apple is kénytelen volt megnyitni operációs rendszerét a programozók előtt.
Ezzel szemben a mobil eszközökön futó iOS operációs rendszer esetében tavaly csupán három kártevőt találtak. Az iOS sokkal zártabb ökoszisztéma, alkalmazásokat csak a hivatalos AppStore-ból lehet telepíteni, ha a gyártó támogatását élvező, nem feltört készülékeket használjuk.
Az iOS sérülékenységről bővebben itt olvashat.