Lộ diện phần mềm độc hại vượt qua cơ chế xác thực của Apple

Trong nhiều năm qua, người dùng macOS ít phải lo lắng về phần mềm độc hại, tuy nhiên, vấn đề này dường như đã bắt đầu thay đổi. 

Vào tháng 2 vừa qua, Apple đã bắt đầu xác thực lại tất cả ứng dụng macOS, đây là một quy trình được thiết kế để kiểm tra và loại bỏ những phần mềm độc hại hoặc bất hợp pháp. Ngay cả phần mềm được phân phối bên ngoài App Store cũng cần phải xác thực, nếu không, người dùng sẽ không thể sử dụng. 

Tuy nhiên, bảy tháng sau, các nhà nghiên cứu đã phát hiện ra một chiến dịch tấn công người dùng macOS bằng phần mềm quảng cáo Shlayer đã được xác thực.

shlayer-malware
Phần mềm quảng cáo Shlayer tấn công người dùng macOS. Ảnh: Gizchina

Theo ước tính, phần mềm quảng cáo Shlayer đã ảnh hưởng đến 1/10 thiết bị macOS trong những năm gần đây.

Tương tự như các phần mềm khác, Shlayer sẽ hiển thị quảng cáo ngẫu nhiên hoặc đưa quảng cáo vào kết quả tìm kiếm. Không rõ bằng cách nào mà Shlayer có thể vượt qua cơ chế kiểm duyệt của Apple để được xác thực.

Peter Dantini (một sinh viên ĐH) là người đầu tiên phát hiện ra phần mềm quảng cáo Shlayer khi truy cập vào trang Homebrew. Tuy nhiên, trình duyệt đã ngay lập tức chuyển hướng đến một trang web cập nhật Adobe Flash giả mạo, anh đã cố tình tải xuống phần mềm và chạy thử. 

Mặc dù macOS có đưa ra lời cảnh báo nhưng không ngăn chặn Dantini chạy chương trình. Khi phát hiện phần mềm quảng cáo Shlayer đã được Apple xác thực, anh đã gửi thông tin cho nhà nghiên cứu bảo mật kỳ cựu Patrick Wardle.

Wardle cho biết: “Các nhà phát triển phần mềm quảng cáo rất sáng tạo và không ngừng phát triển, bởi vì họ có thể mất rất nhiều tiền nếu không thể vượt qua những cơ chế kiểm duyệt mới.

Việc Apple triển khai thêm khâu xác thực là một hồi chuông báo tử cho rất nhiều chiến dịch quảng cáo tiêu chuẩn, bởi ngay cả khi người dùng bị lừa nhấp vào và cố gắng chạy phần mềm, macOS sẽ ngay lập tức ngăn chặn”. 

Wardle đã thông báo cho Apple về phần mềm giả mạo vào ngày 28-8 và công ty đã thu hồi chứng chỉ của Shlayer trong cùng ngày.

Tuy nhiên, chỉ hai ngày sau, Wardle nhận thấy chiến dịch quảng cáo vẫn đang hoạt động và tiếp tục phân phối phần mềm Shlayer. Đơn giản là chúng đã được xác thực bằng một tài khoản nhà phát triển khác, chỉ vài giờ sau khi bị thu hồi chứng chỉ cũ. 

Trước khi Apple giới thiệu tính năng xác thực, các nhà phát triển phần mềm chỉ cần trả 99 USD/năm để có thể tải phần mềm lên App Store (tất nhiên vẫn phải qua khâu kiểm duyệt). 

Thomas Reed, giám đốc mảng Mac và nền tảng di động tại công ty bảo mật Malwarebytes cho biết: “Tôi chắc chắn rằng các ứng dụng độc hại sẽ qua mặt được quá trình xác thực, vì vậy điều này không làm tôi ngạc nhiên.”

“Dịch vụ xác thực là một hệ thống tự động quét phần mềm để tìm nội dung độc hại, kiểm tra các vấn đề và trả về kết quả nhanh chóng. Chúng tôi cảm ơn các nhà nghiên cứu đã hỗ trợ trong việc giữ an toàn cho người dùng”, Apple cho biết.