macOS: quando il malware sembra firmato digitalmente da Apple

Un ricercatore autonomo ha scoperto che sui sistemi macOS gli sviluppatori malware possono “giocare sporco” creando eseguibili che, all’apparenza, sembrano firmati digitalmente da Apple.

Come spiegato in questa lunga analisi tecnica, la radice del problema è nell’approccio utilizzato dalle società che sviluppano soluzioni per la sicurezza (vengono citati Little Snitch, F-Secure xFence, VirusTotal, Google Santa e Facebook OSQuery). Alcuni software antimalware hanno implementato in maniera scorretta le API Apple per il controllo delle firme digitali; così, i malware – “agli occhi” delle soluzioni per la sicurezza – possono apparire componenti legittimi.

Josh Pitts, il ricercatore che ha scoperto la lacuna di sicurezza ormai presente da diversi anni, spiega che il bug presente negli antimalware per macOS è facilissimo da sfruttare.
Usando il formato Fat/Universal per la memorizzazione dei file un aggressore può creare una sorta di “contenitore” che ospita al suo interno il malware vero e proprio.

Pitts ha presentato diversi esempi di file che gli sviluppatori e gli stessi utenti possono utilizzare per verificare se i prodotti per la sicurezza in uso sono capaci di rilevare la minaccia.Apple era stata informata del problema già a marzo scorso ma l’azienda rispose spiegando che non si tratta di una falla di macOS in sé quanto, piuttosto, di un esempio di cattiva implementazione delle API da parte di sviluppatori terzi.
Ciò corrisponde effettivamente al vero e Pitts ha provveduto a contattare il CERT nazionale statunitense che ha a sua volta allertato e coinvolto i vari produttori di soluzioni per la sicurezza.
Facebook e Google hanno già risolto; le altre aziende dovrebbero rilasciare aggiornamenti a breve.