Trong một bài viết gần đây, trang 9to5Mac đã đề cập đến một vấn đề đáng báo động trong lĩnh vực bảo mật macOS: sự gia tăng của phần mềm độc hại được ký và chứng thực bởi Apple, vượt qua các biện pháp bảo vệ ứng dụng của hãng. Theo nghiên cứu từ Jamf Threat Labs, một biến thể mới của dòng MacSync Stealer đã xuất hiện, lợi dụng các chứng chỉ nhà phát triển hợp lệ để qua mặt Gatekeeper.
Các ứng dụng độc hại này, sau khi được ký và chứng thực bởi Apple, trông hoàn toàn hợp lệ khi cài đặt. Tuy nhiên, hành vi xấu thực sự lại diễn ra sau đó, khi ứng dụng kết nối đến các máy chủ từ xa để tải về các payload (tải trọng) độc hại khác. Quá trình chứng thực của Apple chỉ đánh giá những gì có tại thời điểm nộp đơn, không kiểm soát những gì ứng dụng tải về sau khi khởi chạy, tạo ra một lỗ hổng lớn.
Các chuyên gia cho rằng, những kẻ tấn công có thể mua hoặc sử dụng trái phép các chứng chỉ nhà phát triển, khiến các ứng dụng độc hại trông giống như phần mềm hợp pháp. Điều này đặt ra câu hỏi về việc liệu hệ thống bảo mật của Apple có thực sự hiệu quả hay không. Mặc dù Apple có thể thu hồi chứng chỉ khi phát hiện hành vi lạm dụng, nhưng thiệt hại có thể đã xảy ra trước khi điều đó được thực hiện.
Theo 9to5Mac, sự việc này không hẳn là lỗi hoàn toàn của Apple. Chữ ký mã và chứng thực không được thiết kế để đảm bảo phần mềm luôn an toàn, mà chỉ để xác định nguồn gốc và có thể thu hồi khi cần thiết. Tuy nhiên, sự việc này đặt ra một vấn đề cần được xem xét nghiêm túc hơn.
Để bảo vệ bản thân, người dùng nên tải phần mềm trực tiếp từ các nhà phát triển đáng tin cậy hoặc từ Mac App Store. Bài viết được đăng tải trên 9to5Mac.
