Los usuarios de Mac han podido presumir durante años ante sus homólogos de Apple de tener que preocuparse menos que ellos por el malware presente en sus sistemas operativos. En gran parte, pueden agradecer eso al proceso de 'notarización' instaurado por los de Cupertino como requisito para autorizar la ejecución de software.
Dicho proceso permite detectar aplicaciones maliciosas antes de que empiecen a distribuirse, y no afecta únicamente al software descargado desde la Mac App Store, sino que dificulta la ejecución de todo el software que no cuente con la preceptiva notarización.
Sin embargo, algo ha fallado en los protocolos de Apple, y uno de los más 'populares' malwares para Mac lleva tiempo distribuyéndose con la aprobación de la compañía.
Como Shlayer por su casa
Shlayer (un adware que inyecta publicidad en resultados de búsqueda y descarga otros tipos de malware) lleva más de dos años activo, y durante el año pasado llegó a afectar a uno de cada diez usuarios de Mac, y a representar el 30% de las detecciones de virus para este sistema operativo.
No está muy claro cómo un software de este tipo pudo superar los escaneos automatizados de Apple, sobre todo teniendo en cuenta que su código es prácticamente idéntico a las versiones anteriores, que no destacaban por su complejidad.
"Esperaba que si alguien lograba vulnerar del sistema de notarización me encontraría con algo más sofisticado o complejo (que Shlayer)", afirma Patrick Wardle, investigador de ciberseguridad de la firma de software para Mac Jamf. Wardle fue la segunda persona que supo del error cometido por Apple.
Su descubridor fue un estudiante llamado Peter Datini, que terminó en una web de malware tras escribir incorrectamente un URL legítima y, tras decidir descargarlo voluntariamente movido por la curiosidad, comprobó que Apple no bloqueaba su instalación. Tras confirmar que estaba certificado por Apple, se puso en contacto con Wardle, quien lo notificó a Apple el pasado 28 de agosto.
La compañía revocó el certificado ese mismo día e inhabilitaron la cuenta del desarrollador, impidiendo así su ejecución incluso en los equipos donde ya estuviera instalado. Sin embargo, Wardle sostiene que ayer mismo tuvo acceso a una nueva 'tanda' de instaladores 'notarizados' de Shlayer, esta vez con la firma de otro desarrollador, que había vuelto a saltarse los mecanismos de Apple.
Desde la compañía, se defienden señalando que el proceso de notarización no es exactamente una revisión de aplicaciones, sino únicamente un sistema automatizado que analiza el software en busca de contenido malintencionado, comprueba si hay problemas de firma de código y devuelve los resultados rápidamente.
Vía | TechCrunch Imágenes | Patrick Wardle (vía Objective-See)
Ver 2 comentarios