9to5Mac Security Bite dipersembahkan secara eksklusif untuk Anda oleh Mosyle, satu-satunya Platform Terpadu Apple. Membuat perangkat Apple siap bekerja dan aman bagi perusahaan adalah satu-satunya hal yang kami lakukan. Pendekatan terintegrasi kami yang unik terhadap manajemen dan keamanan menggabungkan solusi keamanan canggih khusus Apple untuk Pengerasan & Kepatuhan yang sepenuhnya otomatis, EDR Generasi Berikutnya, Zero Trust yang didukung AI, dan Manajemen Privilege eksklusif dengan MDM Apple paling kuat dan modern di pasar. Hasilnya adalah Apple Unified Platform yang sepenuhnya otomatis dan saat ini dipercaya oleh lebih dari 45.000 organisasi untuk membuat jutaan perangkat Apple siap bekerja tanpa perlu bersusah payah dan dengan biaya terjangkau. Minta UJI COBA PERPANJANGAN Anda hari ini dan pahami mengapa Mosyle adalah segalanya yang Anda perlukan untuk bekerja dengan Apple.
Pekan lalu, Jamf Threat Labs menerbitkan penelitian tentang varian lain dari keluarga MacSync Stealer yang semakin populer, yang menarik perhatian pada masalah yang semakin besar dalam keamanan macOS: malware yang menyelinap di sekitar perlindungan aplikasi pihak ketiga paling signifikan dari Apple. Varian baru ini didistribusikan di dalam aplikasi berbahaya yang ditandatangani dengan kode dengan ID Pengembang yang valid dan disahkan oleh Apple, yang berarti Gatekeeper tidak punya alasan untuk memblokir peluncurannya.
Secara historis, model Apple telah bekerja dengan cukup baik. Aplikasi yang didistribusikan di luar Mac App Store harus ditandatangani secara kriptografis dan disahkan oleh notaris agar dapat dibuka tanpa membuat pengguna melewati banyak rintangan. Namun model kepercayaan tersebut mengasumsikan bahwa penandatanganan membuktikan niat baik. Apa yang kami lihat sekarang adalah penyerang memperoleh sertifikat pengembang asli dan mengirimkan malware yang tampaknya tidak dapat dibedakan dari perangkat lunak asli pada saat instalasi.
Setelah berbicara dengan banyak orang yang mengetahui masalah ini, ada beberapa cara yang dilakukan pelaku ancaman untuk mencapai hal ini. Dalam banyak kasus, mereka menggunakan kombinasi berikut ini:
Aplikasi berbahaya yang ditandatangani dan disahkan dapat beroperasi dengan sertifikat ID Pengembang yang telah disusupi atau bahkan dibeli melalui saluran bawah tanah, sehingga mengurangi kecurigaan secara signifikan. Seperti yang kita lihat dalam laporan Jamf tentang a varian MacSync Stealer barubiner awal seringkali merupakan executable berbasis Swift yang relatif sederhana yang tampak tidak berbahaya selama analisis statis Apple dan tidak melakukan banyak hal sendiri.
Perilaku berbahaya yang sebenarnya terjadi kemudian, ketika aplikasi menjangkau infrastruktur jarak jauh untuk mengambil muatan tambahan. Jika payload tersebut tidak tersedia selama notaris dan hanya diaktifkan dalam kondisi runtime dunia nyata, pemindai Apple tidak akan menganalisis apa pun yang berbahaya. Proses notarisasi mengevaluasi apa yang ada pada waktu pengiriman, bukan apa yang dapat diambil oleh aplikasi setelah peluncuran, dan penyerang dengan jelas merancang batasan tersebut.
Contoh pertama malware yang disahkan oleh Apple setidaknya terjadi pada tahun 2020, ditemukan oleh a pengguna Twitter. Awal bulan Juli ini, ada contoh lain dari aplikasi jahat serupa yang ditandatangani dan disahkan oleh Apple. Sekarang, apakah ini sudah mencapai titik didihnya? Mungkin tidak. Di satu sisi, saya setuju bahwa satu kejadian saja sudah terlalu banyak.
Di sisi lain, menurut saya terlalu mudah untuk menyalahkan Apple di sini. Sistem ini sebagian besar berfungsi sesuai rancangan. Penandatanganan kode dan notaris tidak pernah dimaksudkan untuk menjamin bahwa perangkat lunak tidak berbahaya selamanya, hanya saja perangkat lunak tersebut dapat ditelusuri kembali ke pengembang sebenarnya dan dicabut ketika penyalahgunaan ditemukan.
Ini adalah vektor serangan yang menarik dan akan terus saya lacak hingga tahun 2026.
Pada akhirnya, pertahanan terbaik melawan malware adalah mengunduh perangkat lunak langsung dari pengembang yang Anda percayai atau dari Mac App Store.
Security Bite adalah pembahasan mendalam mingguan 9to5Mac tentang dunia keamanan Apple. Setiap minggunya, Arin Waichulis mengungkap ancaman baru, masalah privasi, kerentanan, dan banyak lagi, sehingga membentuk ekosistem dengan lebih dari 2 miliar perangkat.
Flupakan tentang: Twitter/X, LinkedIn, benang
FTC: Kami menggunakan tautan afiliasi otomatis yang menghasilkan pendapatan. Lagi.
