A Apple introduziu, com o macOS Ventura 13, um gerenciador de tarefas em segundo plano que possibilita ver e conceder permissões para que apps realizem tarefas quando não estão abertos — uma função pertinente, mas que pode ser burlada.
Isso acontece pois, na conferência DEF CON 2023, o pesquisador de segurança Patrick Wardle falou sobre vulnerabilidades nesse mecanismo que podem ser exploradas para contorná-lo e, assim, permitir que malwares executem controles sem que o usuário saiba.
3️⃣ "Demystifying (& Bypassing) macOS's Background Task Management"
— Patrick Wardle (@patrickwardle) August 7, 2023
Apple's BTM, seeks to centralize (& govern) persistent tasks.
We'll dive into its internals, demo new tools that leverage BTM to detect persistent malware, & use 0days to bypass both its alerts & ES messages 🤭 pic.twitter.com/gBEMigTZri
Entre as vulnerabilidades, Wardle descobriu dois métodos que não exigem acesso root para funcionar, incluindo um na forma como o sistema se comunica com o kernel. Um terceiro método precisa de acesso root para ser executado — o qual exige atenção, pois é possível que os invasores obtenham “altos níveis de acesso” ao impedirem que os alertas do macOS apareçam.
Nesse sentido, o pesquisador apontou que deveria haver uma ferramenta que notificasse o usuário quando algo é instalado no Mac; no entanto, a atual implementação do mecanismo foi, nas palavras dele, “tão mal feita que qualquer malware um tanto sofisticado pode ignorar trivialmente o monitoramento” do sistema.
O pesquisador chegou a relatar alguns problemas iniciais do mecanismo à Apple e eles foram corrigidos. No entanto, a companhia aparentemente não se aprofundou nos problemas.
Nós fomos e voltamos e, eventualmente, eles consertaram o problema, mas foi como colocar fita adesiva em um avião enquanto ele está caindo. Eles não perceberam que o recurso precisa de muito trabalho.
Wardle disse que optou por anunciar esses bugs na DEF CON sem primeiro notificar a Apple porque já havia notificado a empresa sobre as falhas anteriores — que poderiam ter levado a melhorar a qualidade geral da ferramenta de forma mais abrangente.
Ele acrescentou, também, que ignorar esse monitoramento simplesmente traz o estado de segurança do macOS de volta ao que era um ano atrás, antes do lançamento do gerenciador de tarefas em segundo plano, de modo que o mecanismo “dá aos usuários e desenvolvedores uma falsa sensação de segurança”.
Procurada pela WIRED, que primeiro cobriu as descobertas de Wardle, a Apple ainda não forneceu um comunicado oficial sobre as considerações do pesquisador.