Uno de tus Es posible que las herramientas integradas de detección de malware de Mac no funcionen tan bien como crees. En la conferencia de hackers Defcon en Las Vegas, el investigador de seguridad de Mac desde hace mucho tiempo, Patrick Wardle, presentó hoy los hallazgos sobre las vulnerabilidades en el mecanismo de administración de tareas en segundo plano de macOS de Apple, que podrían explotarse para eludir y, por lo tanto, derrotar a la herramienta de monitoreo recientemente agregada por la compañía.
No existe un método infalible para detectar malware en computadoras con perfecta precisión porque, en esencia, los programas maliciosos son solo software, como su navegador web o aplicación de chat. Puede ser difícil distinguir los programas legítimos de los transgresores. Por lo tanto, los fabricantes de sistemas operativos como Microsoft y Apple, así como las empresas de seguridad de terceros, siempre están trabajando para desarrollar nuevos mecanismos y herramientas de detección que puedan detectar comportamientos de software potencialmente maliciosos de nuevas maneras.
La herramienta de administración de tareas en segundo plano de Apple se enfoca en observar la «persistencia» del software. El malware se puede diseñar para que sea efímero y funcione solo brevemente en un dispositivo o hasta que la computadora se reinicie. Pero también se puede construir para establecerse más profundamente y «persistir» en un objetivo incluso cuando la computadora se apaga y se reinicia. Una gran cantidad de software legítimo necesita persistencia para que todas sus aplicaciones, datos y preferencias se muestren tal como los dejó cada vez que enciende su dispositivo. Pero si el software establece persistencia inesperadamente o de la nada, podría ser una señal de algo malicioso.
Con esto en mente, Apple agregó el Administrador de tareas en segundo plano en macOS Ventura, que se lanzó en octubre de 2022, para enviar notificaciones directamente a los usuarios y a cualquier herramienta de seguridad de terceros que se ejecute en un sistema si ocurre un «evento de persistencia». De esta forma, si sabe que acaba de descargar e instalar una nueva aplicación, puede ignorar el mensaje. Pero si no lo hizo, puede investigar la posibilidad de que se haya visto comprometido.
“Debe haber una herramienta [that notifies you] cuando algo se instala de manera persistente, es bueno que Apple lo haya agregado, pero la implementación se realizó de manera tan deficiente que cualquier malware que sea algo sofisticado puede pasar por alto el monitoreo de manera trivial”, dice Wardle sobre sus hallazgos de Defcon.
Apple no pudo ser contactado de inmediato para hacer comentarios.
Como parte de su Objective-See Foundation, que ofrece herramientas de seguridad macOS gratuitas y de código abierto, Wardle ha ofrecido durante años una herramienta de notificación de eventos de persistencia similar conocida como BlockBlock. “Debido a que he escrito herramientas similares, conozco los desafíos que han enfrentado mis herramientas, y me preguntaba si las herramientas y los marcos de trabajo de Apple tendrían los mismos problemas para resolver, y los tienen”, dice. “El malware aún puede persistir en un manera que es completamente invisible.”
Cuando debutó por primera vez el Administrador de tareas en segundo plano, Wardle descubrió algunos problemas más básicos con la herramienta que causaban fallas en las notificaciones de eventos persistentes. Se los informó a Apple y la empresa solucionó el error. Pero la empresa no identificó problemas más profundos con la herramienta.
“Fuimos de un lado a otro y, finalmente, solucionaron ese problema, pero fue como poner cinta adhesiva en un avión que se estrella”, dice Wardle. “No se dieron cuenta de que la función necesitaba mucho trabajo”.