Mac-malware krijgt 2 keer goedkeuring van Apple

Apple nieuwste beveiligingsmiddel voor Macs is het keuren van apps middels zogeheten notarization. Daarbij kunnen app-makers hun software indienen voor onderzoek en goedkeuring door Apple, waarna een app veilig wordt geacht. Deze notariële goedkeuring is geïntroduceerd met de release van macOS Mojave (versie 10.14) en is verplicht om apps te draaien op opvolger macOS Catalina (10.15).

Update voor 'Adobe Flash'

Een gewone gebruiker heeft door een tikfout echter een goedgekeurde app ontdekt waarin de Shlayer-adware verpakt zit. De student was op zoek naar macOS package manager Homebrew maar kwam via een andere URL en diverse redirects uit bij een vervalste updatepagina voor Adobe Flash. De daar aangeboden download, met Shlayer erin, bleek notarieel goedgekeurd door Apple.

Vervolgens is Mac-securityonderzoeker Patrick Wardle ingelicht die de kwestie heeft onderzocht en na bevestiging Apple heeft gewaarschuwd. De Mac-maker heeft de goedkeuring voor de app gauw ingetrokken. Daarmee was de zaak echter niet opgelost.

Aanhouder wint?

Twee dagen later zag Wardle dat de adwarecampagne van Shlayer nog altijd actief was, en met dezelfde downloads voor Macs. Het bleek dat de daders erachter hun Trojan voor macOS simpelweg met een andere Apple Developer ID hadden aangemeld voor notariële erkenning door de Mac-maker. En dat de malware opnieuw de goedkeuring van Apple had gekregen. In een online-uitleg over zijn notariseringssysteem stelt het bedrijf dat notarization niet hetzelfde is als de meer grondige 'App Review' die het doet voor iOS-apps, meldt Wired.

❌ ? games bad? ✅ ? malware good? ...ughh 2020 really confuses me ? #FreeFortnite New blog post:https://t.co/NUpn6jSxPi ?‍♂️? — patrick wardle (@patrickwardle) August 31, 2020