sunshine1104
09-02-2020, 08:25
Phần mềm quảng cáo Shlayer đă sử dụng một thủ thuật mới để vượt qua cơ chế xác thực của Apple.
Trong nhiều năm qua, người dùng macOS ít phải lo lắng về phần mềm độc hại, tuy nhiên, vấn đề này dường như đă bắt đầu thay đổi.
Vào tháng 2 vừa qua, Apple đă bắt đầu xác thực lại tất cả ứng dụng macOS, đây là một quy tŕnh được thiết kế để kiểm tra và loại bỏ những phần mềm độc hại hoặc bất hợp pháp. Ngay cả phần mềm được phân phối bên ngoài App Store cũng cần phải xác thực, nếu không, người dùng sẽ không thể sử dụng.
Tuy nhiên, bảy tháng sau, các nhà nghiên cứu đă phát hiện ra một chiến dịch tấn công người dùng macOS bằng phần mềm quảng cáo Shlayer đă được xác thực.
https://www.intermati.com/forum/attachment.php?attac hmentid=1646790&stc=1&d=1599035098
Phần mềm quảng cáo Shlayer tấn công người dùng macOS. Ảnh: Gizchina
Theo ước tính, phần mềm quảng cáo Shlayer đă ảnh hưởng đến 1/10 thiết bị macOS trong những năm gần đây.
Tương tự như các phần mềm khác, Shlayer sẽ hiển thị quảng cáo ngẫu nhiên hoặc đưa quảng cáo vào kết quả t́m kiếm. Không rơ bằng cách nào mà Shlayer có thể vượt qua cơ chế kiểm duyệt của Apple để được xác thực.
Peter Dantini (một sinh viên ĐH) là người đầu tiên phát hiện ra phần mềm quảng cáo Shlayer khi truy cập vào trang Homebrew. Tuy nhiên, tŕnh duyệt đă ngay lập tức chuyển hướng đến một trang web cập nhật Adobe Flash giả mạo, anh đă cố t́nh tải xuống phần mềm và chạy thử.
Mặc dù macOS có đưa ra lời cảnh báo nhưng không ngăn chặn Dantini chạy chương tŕnh. Khi phát hiện phần mềm quảng cáo Shlayer đă được Apple xác thực, anh đă gửi thông tin cho nhà nghiên cứu bảo mật kỳ cựu Patrick Wardle.
Wardle cho biết: “Các nhà phát triển phần mềm quảng cáo rất sáng tạo và không ngừng phát triển, bởi v́ họ có thể mất rất nhiều tiền nếu không thể vượt qua những cơ chế kiểm duyệt mới.
Việc Apple triển khai thêm khâu xác thực là một hồi chuông báo tử cho rất nhiều chiến dịch quảng cáo tiêu chuẩn, bởi ngay cả khi người dùng bị lừa nhấp vào và cố gắng chạy phần mềm, macOS sẽ ngay lập tức ngăn chặn”.
Wardle đă thông báo cho Apple về phần mềm giả mạo vào ngày 28-8 và công ty đă thu hồi chứng chỉ của Shlayer trong cùng ngày.
Tuy nhiên, chỉ hai ngày sau, Wardle nhận thấy chiến dịch quảng cáo vẫn đang hoạt động và tiếp tục phân phối phần mềm Shlayer. Đơn giản là chúng đă được xác thực bằng một tài khoản nhà phát triển khác, chỉ vài giờ sau khi bị thu hồi chứng chỉ cũ.
Trước khi Apple giới thiệu tính năng xác thực, các nhà phát triển phần mềm chỉ cần trả 99 USD/năm để có thể tải phần mềm lên App Store (tất nhiên vẫn phải qua khâu kiểm duyệt).
Thomas Reed, giám đốc mảng Mac và nền tảng di động tại công ty bảo mật Malwarebytes cho biết: “Tôi chắc chắn rằng các ứng dụng độc hại sẽ qua mặt được quá tŕnh xác thực, v́ vậy điều này không làm tôi ngạc nhiên.”
“Dịch vụ xác thực là một hệ thống tự động quét phần mềm để t́m nội dung độc hại, kiểm tra các vấn đề và trả về kết quả nhanh chóng. Chúng tôi cảm ơn các nhà nghiên cứu đă hỗ trợ trong việc giữ an toàn cho người dùng”, Apple cho biết.
Trong nhiều năm qua, người dùng macOS ít phải lo lắng về phần mềm độc hại, tuy nhiên, vấn đề này dường như đă bắt đầu thay đổi.
Vào tháng 2 vừa qua, Apple đă bắt đầu xác thực lại tất cả ứng dụng macOS, đây là một quy tŕnh được thiết kế để kiểm tra và loại bỏ những phần mềm độc hại hoặc bất hợp pháp. Ngay cả phần mềm được phân phối bên ngoài App Store cũng cần phải xác thực, nếu không, người dùng sẽ không thể sử dụng.
Tuy nhiên, bảy tháng sau, các nhà nghiên cứu đă phát hiện ra một chiến dịch tấn công người dùng macOS bằng phần mềm quảng cáo Shlayer đă được xác thực.
https://www.intermati.com/forum/attachment.php?attac hmentid=1646790&stc=1&d=1599035098
Phần mềm quảng cáo Shlayer tấn công người dùng macOS. Ảnh: Gizchina
Theo ước tính, phần mềm quảng cáo Shlayer đă ảnh hưởng đến 1/10 thiết bị macOS trong những năm gần đây.
Tương tự như các phần mềm khác, Shlayer sẽ hiển thị quảng cáo ngẫu nhiên hoặc đưa quảng cáo vào kết quả t́m kiếm. Không rơ bằng cách nào mà Shlayer có thể vượt qua cơ chế kiểm duyệt của Apple để được xác thực.
Peter Dantini (một sinh viên ĐH) là người đầu tiên phát hiện ra phần mềm quảng cáo Shlayer khi truy cập vào trang Homebrew. Tuy nhiên, tŕnh duyệt đă ngay lập tức chuyển hướng đến một trang web cập nhật Adobe Flash giả mạo, anh đă cố t́nh tải xuống phần mềm và chạy thử.
Mặc dù macOS có đưa ra lời cảnh báo nhưng không ngăn chặn Dantini chạy chương tŕnh. Khi phát hiện phần mềm quảng cáo Shlayer đă được Apple xác thực, anh đă gửi thông tin cho nhà nghiên cứu bảo mật kỳ cựu Patrick Wardle.
Wardle cho biết: “Các nhà phát triển phần mềm quảng cáo rất sáng tạo và không ngừng phát triển, bởi v́ họ có thể mất rất nhiều tiền nếu không thể vượt qua những cơ chế kiểm duyệt mới.
Việc Apple triển khai thêm khâu xác thực là một hồi chuông báo tử cho rất nhiều chiến dịch quảng cáo tiêu chuẩn, bởi ngay cả khi người dùng bị lừa nhấp vào và cố gắng chạy phần mềm, macOS sẽ ngay lập tức ngăn chặn”.
Wardle đă thông báo cho Apple về phần mềm giả mạo vào ngày 28-8 và công ty đă thu hồi chứng chỉ của Shlayer trong cùng ngày.
Tuy nhiên, chỉ hai ngày sau, Wardle nhận thấy chiến dịch quảng cáo vẫn đang hoạt động và tiếp tục phân phối phần mềm Shlayer. Đơn giản là chúng đă được xác thực bằng một tài khoản nhà phát triển khác, chỉ vài giờ sau khi bị thu hồi chứng chỉ cũ.
Trước khi Apple giới thiệu tính năng xác thực, các nhà phát triển phần mềm chỉ cần trả 99 USD/năm để có thể tải phần mềm lên App Store (tất nhiên vẫn phải qua khâu kiểm duyệt).
Thomas Reed, giám đốc mảng Mac và nền tảng di động tại công ty bảo mật Malwarebytes cho biết: “Tôi chắc chắn rằng các ứng dụng độc hại sẽ qua mặt được quá tŕnh xác thực, v́ vậy điều này không làm tôi ngạc nhiên.”
“Dịch vụ xác thực là một hệ thống tự động quét phần mềm để t́m nội dung độc hại, kiểm tra các vấn đề và trả về kết quả nhanh chóng. Chúng tôi cảm ơn các nhà nghiên cứu đă hỗ trợ trong việc giữ an toàn cho người dùng”, Apple cho biết.