macOSにマルウェアがセキュリティ保護を回避できるバグ（macOS 11.3で修正済み）

今回は「macOSにマルウェアがセキュリティ保護を回避できるバグ（macOS 11.3で修正済み）」についてご紹介します。

関連ワード（Apple、macOS、バグ、マルウェア等）についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

Apple（アップル）は何年もかけてmacOSのセキュリティ機能を強化し、マルウェアの侵入を困難にしてきた。しかし、新たに発見された脆弱性は、macOSの最新セキュリティ保護のほとんどを、悪意あるアプリをダブルクリックするだけで通過させてしまう。Appleの監視の下であってはならない事態だ。

さらに悪いことに、悪名高きMacマルウェアの一族が、この脆弱性を今週Appleが修正する何カ月も前から利用していたことを示す証拠が見つかった。

ここ数年、Macはほとんどのタイプのマルウェアを技術的障壁を設けることで防いできた。実際、macOSは、インターネットからダウンロードされたドキュメントになりすました悪意あるアプリに警告フラグをつけている。また、Appleが「notarization（公証）」と呼ぶプロセスによって、Appleがレビューしていないアプリや、デベロッパーを確認できなかったアプリは、ユーザーが確認しない限りmacOSでは実行されない。

しかし、セキュリティ研究者のCedric Owens（セドリック・オーエンス）氏は、一連のチェックを逃れて悪意あるアプリが実行できるようになるバグを2021年3月に発見したと語った。

オーエンス氏はTechCrunchに、そのバグによって彼は、一見無害なドキュメントに見えるが開くとmacOSに組み込まれた防御をすり抜ける悪意あるアプリを作ることができたと語った。

「ユーザーに必要なのはダブルクリックすることだけで、macOSからはプロンプトも警告も出きません」と彼はTechCrunchに話した。オーエンス氏は、無害なドキュメントがバクを利用して計算機アプリを立ち上げる概念実証アプリを作った。実際にマルウェアを仕込むことなくバグの仕組みをデモする方法だ。しかし悪意あるアタッカーはこの脆弱性を利用して、なりすましドキュメントを標的に開かせるだけで、遠隔からユーザーの機密情報をアクセスできると彼は説明した。

無害なドキュメントになりすまして、修正前のmacOS機で実行する概念実証アプリ。作者より提供

この脆弱性をアタッカーが悪用することを恐れたオーエンス氏は、Appleにバグを報告した。

AppleはTechCrunchに、バグはmacOS 11.3で修正したと伝えた。さらにAppleは、旧バージョンのmacOSの悪用も防ぐためにパッチを施し、更新されたルールをmacOSの内蔵アンチマルウェアエンジンであるXProtectにプッシュ配信してマルウェアが脆弱性を利用するのを防いだ。

オーエンス氏はMacセキュリティ研究者のPatrick Wardle（パトリック・ウォードル）氏に、このバグがどうやって、なぜ動くのかを調査するよう依頼した。米国時間4月26日の技術的ブログ記事でウォードル氏は、脆弱性がmacOSに内在するコードのロジックバグのために発生することを説明した。つまりmacOSが一部のアプリの分類を誤り、セキュリティ・チェックをスキップしたため、オーエンス氏の概念実証アプリが妨害されずに実行できた。

わかりやすくいうと、macOSアプリは単一のファイルではなくアプリの動作に必要な複数のファイルの集合体で構成されており、アプリケーションが依存しているファイルの場所を教えてくれるプロパティリストファイルもその1つだ。しかしオーエンス氏はこのプロパティリストファイルを取り出して特定の構造の集合体を作ることによって、macOSを騙して中にあるコードを警告を出さずに実行させる方法を見つけた。

ウォードル氏は、そのバグはmacOSのセキュリティ機能を「まったく無意味」にすると評した。Appleのセキュリティアップデートがこのバグを修正したことを同氏は確認した。「アップデートされた結果アプリケーションは正しく分類されるようになり、信頼されていない公証されていないアプリケーショっは（再び）ブロックされ、ユーザーは保護されます」と同氏がTechCrunchに話した。

バグの仕組みを知ったウォードル氏は、Macセキュリティ会社のJamfに、オーエンス氏の発見以前に悪用された証拠がないか尋ねた。Jamfの発見ツール責任者、Jaron Bradley（ジェロン・ブラッドリー）氏は、Shlayerマルウェアファミリーのがバグを利用している例を2021年1月に、オーエンス氏の発見より数カ月早く見つけられていたことを確認した。Jamfはこのマルウェアに関する技術的ブログ記事も公開している。

「このテクニックを使う私たちの見つけたマルウェアは、Shlayerという2018年に最初に発見されたマルウェアファミリーのアップデート版です。ShlayerはmacOSでもっともよく見られるマルウェアの1つであり、そのため私たちはその数多くの変種を発見する方法を開発して進化の過程を綿密に監視しました」とブラッドリー氏がTechCrunchに話した。「発見ツールの1つがこの新たな変種を見つけ、詳しく調べたところ、それがこの変種が抜け穴を使ってインストールされ、ユーザープロンプトも表示されないことを発見しました。さらに分析した結果、マルウェアの開発者はゼロデー脆弱性を見つけ、それを利用するように自分たちのマルウェアを調整したものと考えます」。

Shlayerは、暗号化されたウェブトラフィック（HTTPS利用サイトを含む）を横取りして独自の広告を埋め込み、運用者に詐欺広告マネーをもたらすアドウェアだ。

「多くの場合、ユーザーに偽のインストーラーやアップデートをダウンロードさせることでインストールされます」とブラッドリー氏はいう。「この技法を用いるバージョンのShlayerはそうやってOSのマルウェア検査をかいくぐり『本当にいいですか？』のプロンプトをユーザーに表示することなく実行されます」と彼は言った。

「この変種で最も興味深いのは、作者は旧バージョンをわずかに修正してmacOSのセキュリティ機能を回避することです」と言った氏はいう。

ウォードル氏は、ユーザーが過去に悪用されたかどうかを検出するためのPythonスクリプトも公開している。

ShlayerがmacOSの防御をすり抜けたのはこれが初めてではない。2020年、ウォードル氏はセキュリティ研究者のPeter Dantini氏と協力して、Appleが “notarization”プロセスで誤って承認したShlayerのサンプルを見つけた。デベロッパーがアプリをAppleに送り、セキュリティチェックを受けて、何千万台ものMacの上で邪魔されずの動作できるようにするためのプロセスだ。

【Japan編集部】本稿で触れているmacOSのバグは、現在配布済みのmacOS 11.3にアップデートすることで修正される。

関連記事：アップルが悪名高いMac用マルウェアを誤って承認してしまう

画像クレジット：Jack Carter / Unsplash

【原文】

Apple has spent years reinforcing macOS with new security features to make it tougher for malware to break in. But a newly discovered vulnerability broke through most of macOS’ newer security protections with a double-click of a malicious app, a feat not meant to be allowed under Apple’s watch.

Worse, evidence shows a notorious family of Mac malware had been exploiting this vulnerability for months before it was subsequently patched by Apple this week.

Over the years, Macs have adapted to catch the most common types of malware by putting technical obstacles in their way. Indeed, macOS flags potentially malicious apps masquerading as documents that have been downloaded from the internet. And if macOS hasn’t reviewed the app — a process Apple calls notarization — or if it doesn’t recognize its developer, the app won’t be allowed to run without user intervention.

But security researcher Cedric Owens said the bug he found in mid-March bypasses those checks and allows a malicious app to run.

Owens told TechCrunch that the bug allowed him to build a potentially malicious app to look like a harmless document, which when opened bypasses macOS’ built-in defenses when opened.

“All the user would need to do is double click — and no macOS prompts or warnings are generated,” he told TechCrunch. Owens built a proof-of-concept app disguised as a harmless document that exploits the bug to launch the Calculator app, a way of demonstrating that the bug works without dropping malware. But a malicious attacker could exploit this vulnerability to remotely access a user’s sensitive data simply by tricking a victim into opening a spoofed document, he explained.

The proof-of-concept app disguised as a harmless document running on an unpatched macOS machine. (Image: supplied)

Fearing the potential for attackers to abuse this vulnerability, Owens reported the bug to Apple.

Apple told TechCrunch it fixed the bug in macOS 11.3. Apple also patched earlier macOS versions to prevent abuse, and pushed out updated rules to XProtect, macOS’ in-built anti-malware engine, to block malware from exploiting the vulnerability.

Owens asked Mac security researcher Patrick Wardle to investigate how — and why — the bug works. In a technical blog post today, Wardle explained that the vulnerability triggers due to a logic bug in macOS’ underlying code. The bug meant that macOS was misclassifying certain app bundles and skipping security checks, allowing Owens’ proof-of-concept app to run unimpeded.

In simple terms, macOS apps aren’t a single file but a bundle of different files that the app needs to work, including a property list file that tells the application where the files it depends on are located. But Owens found that taking out this property file and building the bundle with a particular structure could trick macOS into opening the bundle — and running the code inside — without triggering any warnings.

Wardle described the bug as rendering macOS’ security features as “wholly moot.” He confirmed that Apple’s security updates have fixed the bug. “The update will now result in the correct classification of applications as bundles and ensure that untrusted, unnotarized applications will (yet again) be blocked, and thus the user protected,” he told TechCrunch.

With knowledge of how the bug works, Wardle asked Mac security company Jamf to see if there was any evidence that the bug had been exploited prior to Owens’ discovery. Jamf detections lead Jaron Bradley confirmed that a sample of the Shlayer malware family exploiting the bug was captured in early January, several months prior to Owens’ discovery. Jamf also published a technical blog post about the malware.

“The malware we uncovered using this technique is an updated version of Shlayer, a family of malware that was first discovered in 2018. Shlayer is known to be one of the most abundant pieces of malware on macOS so we’ve developed a variety of detections for its many variants, and we closely track its evolution,” Bradley told TechCrunch. “One of our detections alerted us to this new variant, and upon closer inspection we discovered its use of this bypass to allow it to be installed without an end user prompt. Further analysis leads us to believe that the developers of the malware discovered the zero-day and adjusted their malware to use it, in early 2021.”

Shlayer is an adware that intercepts encrypted web traffic — including HTTPS-enabled sites — and injects its own ads, making fraudulent ad money for the operators.

“It’s often installed by tricking users into downloading fake application installers or updaters,” said Bradley. “The version of Shlayer that uses this technique does so to evade built-in malware scanning, and to launch without additional ‘Are you sure’ prompts to the user,” he said.

“The most interesting thing about this variant is that the author has taken an old version of it and modified it slightly in order to bypass security features on macOS,” said Bradley.

Wardle has also published a Python script that will help users detect any past exploitation.

It’s not the first time Shlayer has evaded macOS’ defenses. Last year, Wardle, working with security researcher Peter Dantini, found a sample of Shlayer that had been accidentally notarized by Apple, a process where developers submit their apps to Apple for security checks so the apps can run on millions of Macs unhindered.

（文：Zack Whittaker、翻訳：Nob Takahashi / facebook ）

Apple（日本）

Apple Footer * 下取り額は異なる場合があり、下取りに出すデバイスの状態とモデルにもとづきます。下取り額は新しいiPhoneの購入が条件となり、制限が適用される場合があります。20歳以上の方のみが対象です。本プログラムは一部の店舗 ...

https://www.apple.com/jp/

Apple サポート公式サイト

Apple サポートがお手伝いします。すべての Apple 製品のサポート情報や人気のトピックをご案内します。

https://support.apple.com/ja-jp

Apple ID - Apple サポート公式サイト

Apple ID の設定方法や使い方をご紹介します。Apple ID に関するさまざまなトピック、関連情報、お問い合わせ方法についてご案内します。

https://support.apple.com/ja-jp/apple-id

Apple IDを管理

Your Apple ID is the account you use for all Apple services.

https://appleid.apple.com/ja_JP/

AirTag - Apple（日本）

· Apple製品環境報告書には、それぞれのApple製品の詳しい環境パフォーマンス情報が記載されています。リサイクル Appleは包括的な視野のもとで、資材管理と廃棄物最小化に取り組んでいます。AirTagのリサイクル方法について詳しく

https://www.apple.com/jp/airtag/

アップル (企業) - Wikipedia

アップル（英: Apple Inc. ）は、iPhone、iPad、Macintosh (Mac)、その他ウェアラブル製品や家庭向けデジタル製品、それら諸製品のソフトウェアなどを開発・販売している多国籍企業である。2007年1月9日に「アップルコンピュータ」（英 ...

https://ja.wikipedia.org/wiki/%E3%82%A2%E3%83%83%E3%83%97%E3%83%AB_(%E4%BC%81%E6%A5%AD)

‎Apple Music

Apple Music J-Pop 私の大滝詠一プレイリスト Selected by 阿南智史(never young beach) Filtr アーティストインタビューすべて見る Saweetie on Pretty Summer Playlist: Season 1 Saweetie Lil Yachty on Michigan Boy Boat まもなく ...

https://music.apple.com/jp/browse