Защита приложений от модификации в macOS не работает, жалуются эксперты

Екатерина Быстрова 22 Августа 2023 - 13:59

Домашние пользователи

...

В прошлом году Apple представила функциональность под названием App Management, задача которой — препятствовать модификации одного приложения со стороны другого в macOS. Сейчас разработчики жалуются, что фича работают не так, как хотелось бы.

Ранее не мероприятии 2022 Worldwide Developers Conference представители Apple описывали App Management («Управление приложениями») следующим образом:

«Если условное приложение видоизменяется чем-то, что не подписано той же командой разработчиков или не разрешено NSUpdateSecurityPolicy, система macOS заблокирует такую активность, а также уведомит пользователя о несанкционированном вмешательстве».

Конфигурацию этой функциональности можно найти в настройках macOS (пункт «Конфиденциальность и безопасность»). Несмотря на вполне понятный и обнадеживающий анонс, ряд разработчиков считают, что фича не обеспечивает должного уровня безопасности приложений.

Например, Джефф Джонсон из Underpass App Company как-то заявлял, что приложения из песочницы могут обойти App Management.

«Помещенное в песочницу приложение может модифицировать файл, который должен находиться под защитой App Management», — писал Джонсон.

На днях специалист опубликовал в блоге новую запись, согласно которой ему удалось изменить файл настроек браузера Firefox (update-settings.ini) с помощью родного приложения macOS — TextEdit. App Management, по словам Джонсона, пропустил эту активность.

«TextEdit помещен в песочницу, и довольно забавно, что изначально она должна защищать от атак, но в этом случае как раз открывает возможность для атаки», — объясняет исследователь.

«В целом это баг, уязвимость: получается, что софт из песочницы может модифицировать файлы, которые должны быть защищены функциональностью macOS».

Джонсон разработал демонстрационный эксплойт (ZIP), который состоит из приложения вне песочницы, встроенного в помещенную в песочницу программу. Эксперт уточнил, что тестировал PoC в macOS 13.5.1.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 23 Января 2026 - 09:10

macOS Трояны Домашние пользователи

macOS-троян MacSync уговаривает жертву помочь атаке

В мире macOS появилась новая вредоносная кампания, которая делает ставку не на сложные эксплойты, а на старую добрую социальную инженерию. За ней стоит вредонос MacSync, распространяющийся по модели «вредонос как услуга» — недорогого сервиса для киберпреступников, рассчитанного в том числе на не самых опытных, но очень активных злоумышленников.

MacSync маскируется под установщик облачного хранилища и распространяется через сайты, внешне почти неотличимые от легитимных порталов загрузки.

В одном из зафиксированных специалистами CloudSEK случаев пользователя сначала перекидывало со страницы, имитирующей форму входа в аккаунт Microsoft, а затем — на «официальный» сайт macOS-приложения. Никаких подозрительных файлов там не предлагали. Вместо этого посетителю показывали сообщение об ошибке и рекомендовали «продвинутый способ установки» через Terminal.

Дальше всё происходило по классической схеме ClickFix. Пользователя буквально уговаривали скопировать и вставить одну строку команды, якобы необходимую для завершения установки или исправления сбоя. Команда выглядела безобидно, но на деле скачивала и запускала удалённый вредоносный скрипт. Поскольку действие выполнялось добровольно, macOS не видела в этом ничего подозрительного — Gatekeeper, проверка подписи и прочите защиты просто не срабатывали.

После установки MacSync не торопится себя проявлять. Вредонос работает тихо и делает ставку на длительное присутствие в системе. Одна из его ключевых функций — подмена популярных Electron-приложений для работы с аппаратными криптокошельками, включая Ledger Live и Trezor Suite. Модифицированные версии внешне остаются легитимными, но в нужный момент начинают показывать пользователю «служебные» экраны с сообщениями о сбоях и предложением пройти восстановление.

Такой сценарий может сработать даже спустя несколько недель после заражения. Пользователя просят ввести ПИН-код и сид-фразу якобы для устранения проблемы, и в этот момент контроль над криптоактивами полностью переходит к злоумышленникам. По сути, доверенное приложение превращается в продуманный фишинговый инструмент.

Несмотря на статус «дешёвого MaaS-решения», возможности MacSync выглядят вполне серьёзно. Вредонос умеет собирать данные браузеров, информацию о криптокошельках, содержимое Keychain и файлы. Это делает его опасным не только для частных пользователей, но и для корпоративных устройств, где macOS всё чаще используется как рабочая платформа.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »