Dirección
175 Greenwich St, New York, NY 10007
Es posible que las herramientas integradas de detección de malware de su Mac no funcionen tan bien como cree. En la conferencia de hackers Defcon en Las Vegas, el ex investigador de seguridad de Mac, Patrick Wardle, presentó hoy los hallazgos sobre las vulnerabilidades en el mecanismo de administración de tareas en segundo plano de macOS de Apple que se pueden explotar para eludir y, por lo tanto, derrotar a la herramienta de monitoreo recientemente agregada por la compañía.
No existe un método infalible para capturar malware en computadoras con perfecta precisión porque, en esencia, los programas maliciosos son solo software, como su navegador web o aplicación de chat. Puede ser difícil distinguir los programas legítimos de los no autorizados. Por lo tanto, los fabricantes de sistemas operativos como Microsoft y Apple, así como las empresas de seguridad de terceros, siempre están trabajando para desarrollar nuevos mecanismos y herramientas de detección que puedan detectar comportamientos de software potencialmente maliciosos de nuevas maneras.
La herramienta de administración de tareas en segundo plano de Apple se enfoca en observar la «persistencia» del software. El malware se puede diseñar para que sea efímero y funcione solo brevemente en un dispositivo o hasta que se reinicie la computadora. Pero también se puede construir para asentarse más profundamente y «permanecer» en un objetivo, incluso cuando la computadora se apaga y se reinicia. Una gran cantidad de software legítimo necesita persistencia para que todas sus aplicaciones, datos y preferencias aparezcan como los dejó cada vez que enciende su dispositivo. Pero si el software establece persistencia inesperadamente o de la nada, podría ser una señal de algo malicioso.
Con eso en mente, Apple agregó el Administrador de tareas en segundo plano en macOS Ventura, lanzado en octubre de 2022, para enviar notificaciones directamente a los usuarios y a cualquier herramienta de seguridad de terceros que se ejecute en un sistema, en caso de que ocurra un «evento persistente». De esa manera, si sabe que acaba de descargar e instalar una nueva aplicación, puede ignorar el mensaje. Pero si no lo hizo, puede investigar la posibilidad de que se haya visto comprometido.
«Debería haber una herramienta (que le notifique) cuando algo se instala persistentemente. Es bueno que Apple lo haya agregado, pero la implementación fue tan mala que cualquier malware un tanto sofisticado puede pasar por alto el monitoreo de manera trivial», dice Wardle sobre sus hallazgos de Defcon.
Apple no pudo ser contactado de inmediato para hacer comentarios.
Como parte de su Objective-See Foundation, que proporciona herramientas de seguridad macOS gratuitas y de código abierto, Wardle ha ofrecido una herramienta de notificación de eventos de persistencia similar conocida como bloquebloque durante años. «Después de haber escrito herramientas similares, conozco los desafíos que enfrentan mis herramientas, y me preguntaba si las herramientas y los marcos de Apple tendrían los mismos problemas que resolver, y los tienen”, dice. «El malware aún puede persistir de una manera que es completamente invisible. . . ”
Cuando debutó el Administrador de tareas en segundo plano, Wardle descubrió algunos problemas más básicos con la herramienta que causaron que fallaran las notificaciones de eventos persistentes. Él reportado a Apple, y la empresa corrigió el error. Pero la empresa no identificó problemas más profundos con la herramienta.
“Fuimos de un lado a otro y finalmente solucionaron el problema, pero era como poner cinta adhesiva en un avión mientras cae”, dice Wardle. “No se dieron cuenta de que la función necesitaba mucho trabajo”.
MundoDaily – #Una #herramienta #detección #malware #Apple #trivialmente #fácil #ignorar
Publish: 2023-08-12 16:23:14