Apple deu aprovação para execução de aplicativo infectado em Macs

Empresa 'notarizou' por engano um programa que interceptava o tráfego de usuários
Renato Santino12/04/2022 01h03

20191025124435-1920x1080
Publieditorial

A Apple é conhecida pelo controle rígido do que pode ou não ser executado em suas plataformas e até já arrumou problemas por isso (vide o caso da Epic). No entanto, a empresa não é infalível. Um vacilo parece ter permitido que um malware passasse despercebido pela varredura da empresa e tivesse sua distribuição liberada para o MacOS.

Todos os apps precisam passar por esse processo conhecido como “notarização”, e deve ser seguido por todos os desenvolvedores para aprovação, para que os sistemas de segurança dos Macs permitam sua execução sem transtornos. No entanto, pesquisadores de segurança descobriram o primeiro app “notarizado” que carregava código malicioso.

Os pesquisadores Peter Dantini e Patrick Wardle encontraram uma campanha maligna que tentava ludibriar usuários como um instalador do Flash Player. É um tipo de ameaça que normalmente não traz riscos aos usuários do Mac, já que, mesmo se ele baixar alguma coisa indevida, o sistema detecta o código não-notorizado e bloqueia sua execução. Só que neste caso a Apple deu o aval para a reprodução do software, aparentemente por engano.

Por trás do suposto instalador do Flash, havia um malware conhecido como Shlayer, que é apontado como um dos mais utilizados para atacar usuários de Mac. Ele é capaz de interceptar o tráfego web do usuário, mesmo se ele estiver utilizando uma conexão criptografada com HTTPS. A partir daí, ele substitui os anúncios dos sites visitados pelo usuário e as buscas, gerando dinheiro para os autores do ataque. É o que se chama de adware.

A Apple confirmou o caso quando questionada pelo site TechCrunch. “Software malicioso constantemente muda, e o sistema de notarização da Apple ajuda a manter malware longe do Mac e nos permite responder rapidamente quando ele é descoberto. Quando soubemos deste adware, revogamos a variante identificada, desabilitamos a conta de desenvolvedor e revogamos os certificados associados. Agradecemos aos pesquisadores pelo apoio em manter nossos usuários seguros”, diz o comunicado.

Wardle nota que parece ter sido a primeira vez que isso acontece, mas não foi a última. Após a Apple remover a notarização do falso instalador do Flash que permitia a instalação de malware, rapidamente os autores do ataque voltaram com um outro aplicativo notorizado que driblava as restrições da companhia, que novamente bloqueou a ameaça.