После выхода macOS Ventura в настольной операционной системе Apple появились новые механизмы защиты, которые должны информировать пользователей о том, что вновь установленные приложения приносят с собой системные расширения или объекты входа, которые автоматически загружаются при последующих запусках системы и, возможно, остаются в системе, даже если сами приложения уже были перемещены в корзину.
Это может быть вполне разумно. Например, в случае таких приложений, как Audio Hijack, которому приходится устанавливать собственные аудиодрайверы, чтобы иметь возможность подключиться к звуковому выходу системы на соответствующих компьютерах Mac. Однако модификация объектов запуска и установка системных расширений также входит в обычные характеристики Mac malware, т.е. вредоносных программ, неправомерно подселяющихся на компьютер.
Новая система раннего оповещения Apple, так называемое«управление фоновыми процессами», фактически должна подавать сигнал тревоги сразу же после создания новых объектов входа в систему и установки расширений. После этого пользователи видят короткое уведомление в «Центре управления» и могут самостоятельно принять соответствующие меры.
Однако, как отметил на хакерской конференции DefCon разработчик приложений и специалист по безопасности macOS Патрик Уордл, новую систему оповещения довольно просто обойти. У разработчиков есть несколько возможностей внести изменения в систему, которые не будут вызывать предупреждений и не привлекут внимания каким-либо другим способом.
Уордл рассказал о некоторых из них компании Apple, но понадобилось много времени, чтобы убедить исправить уязвимости.
После этого на DefCon разработчик опубликовал ещё одну уязвимость, с помощью которой «Управление фоновыми процессами» может быть отключено без предупреждения. Обе уязвимости не требуют даже root-прав для использования и теперь должны оказать серьезное давление на инженеров Apple, чтобы те выпустили соответствующие исправления.
Сам Уордл выпускает для Mac бесплатную программу KnockKnock, которая следит за соответствующими изменениями в системе, а также обнаруживает модификации, что не попадают в поле зрения Apple.
