Ensimmäinen haittaohjelmaohjelmisto, jonka kerrotaan kohdistuvan Applen uuteen ARM-pohjaiseen Mac-piirisarjaan, on löydetty. Jatka lukemista!
Monet ihmiset saattavat väittää, että Mac on verrattain turvallisempi kuin Windows. Vaikka tämä on suurelta osin totta, viime vuosina kasvu on ollut tasaista, mikä on aiheuttanut huolta. Nyt on havaittu uusi haittaohjelma, jonka sanotaan olevan ensimmäinen tällainen haitallinen ohjelmisto, joka kohdistuu Applen uuteen M1-prosessoriin.
Teki debyyttinsä viime vuoden lopulla uusi MacBook Pro, MacBook Air ja Mac Mini, uutta ARM-pohjaista M1-piirisarjaa on kehuttu erinomaisesta suorituskyvystä verrattuna Intelin vastaaviin piirisarjoihin. Siirtyminen ARM-järjestelmään antoi Applelle mahdollisuuden siirtyä pois Intelin x86-arkkitehtuurista vuodesta 2005 lähtien ja integroida tiettyjä suojausominaisuuksia suoraan prosessoreihinsa. Tämä arkkitehtuurimuutos on pakottanut kehittäjät tekemään ohjelmistoistaan uudempia versioita toimimaan alkuperäisesti M1-piirisarjalla sen sijaan, että ne olisivat kääntäneet Applen Rosetta 2 -emulaattorin kautta. Ei ole yllättävää, että myös haittaohjelmien tekijät ovat sopeutuneet tähän siirtymiseen, kertoo raportin
Mac-tietoturvatutkija Patrick Wardlen raportti selittää, kuinka haittaohjelmia voidaan helposti mukauttaa ja kääntää uudelleen toimimaan natiivisti M1-sirulla. Ensimmäinen M1-haittaohjelma on ilmeisesti Safari-mainosohjelmalaajennus nimeltä "GoSearch22", joka alun perin tehtiin toimimaan Intel x86 -siruilla. Sen sanotaan olevan osa "Pirrit" Mac-mainosohjelmistoperhettä, joka on yksi vanhimmista ja aktiivisimmista Mac-mainosohjelmistoperheistä, joka muuttuu jatkuvasti välttääkseen havaitsemisen.
Mainosohjelma naamioituu lailliseksi Safari-selainlaajennukseksi. Samanaikaisesti se kerää käyttäjätietoja ja saa aikaan suuren määrän mainoksia, mukaan lukien bannerit ja ponnahdusikkunat, jotka linkittävät haitallisille verkkosivustoille, jotka ovat täynnä enemmän haittaohjelmia. On huomionarvoista, että GoSearch22 allekirjoitettiin Apple Developer ID: llä marraskuussa 2020, mutta sen varmenne on peruutettu siitä lähtien. Lisäksi Wardle ehdottaa, että M1-haittaohjelmat ovat melko varhaisessa vaiheessa, eikä M1-sirun haittaohjelmien uhkien havaitsemiseen käytettyjä allekirjoituksia ole vielä suurimmaksi osaksi havaittu. Näin ollen on turhaa käyttää virustorjuntaohjelmia ja puolustustyökaluja, koska useimmat niistä kamppailevat käsittelemään muutettuja tiedostoja oikein. GoSearch22 ei ole ainoa M1-haittaohjelma, sillä tietoturvayhtiö Red Canaryn tutkijat ehdottavat, että tällaisia haitallisia ohjelmistoja on parhaillaan tutkittavana.