Операционные системы Apple известны своей закрытостью, которая обеспечивает им высочайший уровень защиты. Но даже тут возможны сбои, которые приводят к неприятным последствиям.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

В macOS встроена защита Gatekeeper, которая сканирует любое приложение и запрещает его запуск при обнаружении признаков вредоносности. Как выяснили ИБ-специалисты Питер Дантини и Патрик Уорлд, создателям поддельного инсталлятора Adobe Flash удалось создать софт, который успешно обходит эту защиту.

В инсталляторе был спрятан популярный вредонос Shlayer, который вмешивается в интернет-трафик (даже зашифрованный) и встраивает в веб-страницы рекламный контент, на котором зарабатывают мошенники.

Gatekeeper не справлялся с обнаружением кода Shlayer в фейковом инсталляторе Flash, благодаря чему это приложение можно было беспрепятственно запускать даже в самых новых версиях macOS, включая свежие бета-сборки macOS Big Sur. Оно поселялось в памяти, перехватывало трафик в браузере и добавляло на веб-страницы различную рекламу, в том числе мошенническую, создававшую риск потери денежных средств.



После того, как Дантини и Уорлд сообщили о своей находке компании Apple, она внесла изменения в алгоритмы работы Gatekeeper, и теперь этот инструмент справляется с обнаружением Shlayer. Правда, как предупреждают исследователи, в скором времени хакеры могут вернуться с модифицированной версией этого или другого вредоноса, и тогда защищённость macOS снова будет под вопросом.

Как выяснили специалисты Apple, у создателей поддельного инсталлятора Adobe Flash был легитимный аккаунт разработчика, а также несколько действующих цифровых сертификатов, полученных на официально изданные приложения. Этот аккаунт был заблокирован, а сертификаты отозваны.