セキュリティ

Appleのマルウェア報告ツールは「簡単に」バイパスできるとの指摘


アメリカのハッカーカンファレンスである「DEF CON」の中で、長年Macのセキュリティについて研究しているというパトリック・ワードル氏が、Macに組み込まれているマルウェア検出ツールのひとつが「簡単にバイパスできる」と指摘しました。

An Apple malware-flagging tool is “trivially” easy to bypass | Ars Technica
https://arstechnica.com/security/2023/08/researcher-finds-easy-exploits-for-apples-malware-flagging-tool/


悪意のあるプログラムの中核は、ウェブブラウザやチャットアプリのようなソフトウェアであるため、コンピューター上のマルウェアを完全な精度で検出するための確実な方法は存在しません。正規のソフトウェアと非正規のソフトウェアを見分けるのは難しいケースがあるためです。そのため、MicrosoftやAppleといったコンピュター向けのOSを開発するメーカーや、サードパーティーのセキュリティツール開発メーカーは、潜在的に悪意のあるソフトウェアの動作を検出するために、マルウェア検出のメカニズムを開発し、これを応用して検出ツールを作成しています。

マルウェアには「デバイス上で短時間のみ動作するように設計されているもの」と「コンピューターが再起動されるまで継続して動作するように設計されているもの」があります。さらに、コンピューターが一度シャットダウンしても、ターゲット端末上に残るよう設計されたものも存在します。

正規のソフトウェアの多くは、デバイスの電源を入れるたびにすべてのアプリ・データ・設定がそのまま表示されるように、「永続性」を必要とします。しかし、ソフトウェアが予期せず「永続性」を確立した場合、それは何らかの悪意のある兆候であると考えられるそうです。そのため、Appleはマルウェア検出ツールとしてバックグラウンドタスクマネージャーを搭載しており、これはソフトウェアの「永続性」を監視することに重点を置いている模様。


Appleは2022年10月に、バックグラウンドタスクマネージャーに「永続性イベントが発生した際に、ユーザーとシステム上で実行されているサードパーティー製のセキュリティツールの両方に、通知を直接送信する」ことができるようにアップデートを施しました。これにより、インストール済みのソフトウェアでこれまでと異なる挙動(永続性イベント)が検知された場合に、システムが侵害された可能性があるとして通知することが可能になります。

このバックグラウンドタスクマネージャーのアップグレードについて、ワードル氏は「何かが永続的に自己インストールされるようになった時、それを通知するツールがあるべきです。Appleが独自にこの機能を追加したことは素晴らしいですが、実装があまりに不十分であったため、ある程度洗練されたマルウェアであれば簡単にこの監視を回避(バイパス)することができてしまっていました」と語っています。

ワードル氏はオープンソースのmacOS向けセキュリティツールを提供するObjective-See Foundationの活動の一環として、「BlockBlock」と呼ばれるバックグラウンドタスクマネージャーと同じく永続イベントを通知するためのツールを長年提供してきた人物です。そのため、「私も同様のツールを作成したことがあるので自分のツールが直面した課題を理解しています。Appleのツールやフレームワークでも同じ問題を解決する必要があるのではないかと疑問に思っていました」と語っています。


ワードル氏が発見したバックグラウンドタスクマネージャーをバイパスする方法のひとつは、ターゲットのデバイスへのroot権限を必要とするものです。つまり、攻撃者はターゲット端末が永続性アラートを受信できないようにする前に、端末の完全なコントロールを得る必要があるということを意味します。

しかし、バックグラウンドタスクマネージャーがユーザーやセキュリティツールに送信することになっている永続性アラートを無効にするために、root権限を必要としない方法が2つも発見されています。ひとつは永続性アラートがカーネルと通信する方法に存在するバグを利用したもので、もうひとつはシステム特権を持たないユーザーでもプロセスをスリープさせることができる機能を利用したものです。

ワードル氏はこれらのバグをDEF CONで発表する前に、Appleにバグについて連絡することはしなかったと述べています。この理由について、ワードル氏はバックグラウンドタスクマネージャーのバグについては既にAppleに通知しており、このツールの品質をより包括的に向上させることに成功しているためと説明しています。

この記事のタイトルとURLをコピーする

・関連記事
AppleがiPhoneやMac向けに素早くセキュリティアップデートを展開する「緊急セキュリティ対応」をWWDC22での発表以来初めてリリース - GIGAZINE

macOSに備わる複数のセキュリティ層を突破してすべてのファイルを読み取ることができる脆弱性が発見される - GIGAZINE

Appleのセキュリティチップが強力すぎるせいで大量の中古MacBookがジャンク品と化している - GIGAZINE

AppleがiPhoneやMac向けのセキュリティアップデートをリリース、すでにハッキングに悪用された可能性も - GIGAZINE

Apple M1チップの修正不可能な脆弱性を突く攻撃「PACMAN」が見つかる - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by logu_ii

You can read the machine translated English article here.