Apple corrige falha usada por vírus para burlar validação de aplicativos no macOS

Erro na lógica de validação fazia com que arquivo baixado da internet fosse tratado como software confiável. Vendas de iPhone caem e impactam faturamento da Apple. Empresa afirma que irá reduzir preços dos aparelhos fora dos Estados Unidos.

Thomas Peter/Reuters

A Apple atualizou o macOS, o sistema operacional dos computadores MacBook e iMac, para corrigir uma vulnerabilidade que foi usada para burlar o processo obrigatório de validação de software.

Desde o macOS Catalina, todos os programas para macOS devem ser enviados à Apple e submetidos a uma homologação (chamada de "notarization").

Caso o usuário tente executar um software baixado na internet que não passou por esse processo, ele deve ser bloqueado pelo sistema.

Mas, por causa de um erro na lógica de validação de software, o macOS podia ser manipulado para dispensar os avisos de segurança. Ou seja, um software sem assinatura digital ou homologação seria tratado como um aplicativo local e confiável.

Para tirar proveito desse problema, um hacker ainda teria que convencer a vítima a baixar um programa contaminado, seja com uma oferta falsa, um programa pirata ou adulterando um software legítimo.

E, segundo especialistas, isso já vem acontecendo.

A falha foi descoberta em meados de março pelo pesquisador de segurança Cedric Owens e comunicada à Apple. A empresa agradece a Owens na documentação técnica macOS 11.3 – a versão que corrige o problema.

Como Owens descobriu a falha por acaso ao utilizar um programa chamado "appify", acreditava-se que não havia risco imediato aos usuários.

Porém, especialistas em segurança da Objective-See e da Jamf descobriram que códigos maliciosos já estavam se aproveitando do problema pelo menos desde janeiro – e que isso havia passado despercebido.

Essa descoberta foi possível pela simplicidade da falha. Os programas para macOS são "pacotes" formados por um conjunto de arquivos. O problema na validação era desencadeado pela falta de um arquivo chamado "Info.plist", que costuma estar presente.

Veja como baixar apps seguros:

Download seguro: saiba como baixar programas legítimos

A ausência desse arquivo podia gerar um erro de lógica que dispensava a validação, permitindo que um programa sem assinatura digital nem homologação fosse executado diretamente.

Portanto, os especialistas apenas tiveram de vasculhar as coleções arquivos maliciosos em busca de pacotes sem um "Info.plist". Foi assim que eles encontraram uma versão do Shlayer, uma praga digital notória por burlar medidas de segurança da Apple.

O Shlayer costuma ser distribuído em anúncios maliciosos na web e instala programas de publicidade no computador. A publicidade funciona como receita para o criador da praga digital.

Essa versão sem o "Info.plist" era datada de janeiro – o que significa que hackers podem ter explorado a falha por três meses.

Por engano, Apple 'homologou' programa malicioso para macOS

Embora a falha permitisse burlar a checagem de validação do aplicativo, o arquivo ainda seria checado pelo XProtect, o antivírus embutido no macOS.

Portanto, nem todas as barreiras contra apps maliciosos eram burladas com o uso dessa falha.

Porém, o problema era desencadeado por aplicativos "script" que podem ser facilmente alterados para enganar soluções antivírus.

Mesmo assim, recomenda-se que usuários atualizem o sistema o quanto antes para evitar que pragas digitais sejam executadas sem qualquer aviso. Além de estar presente no macOS 11.3, a correção da vulnerabilidade também foi aplicada a versões anteriores do sistema.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Veja dicas para se manter seguro on-line