image

MacOS-adware niet opgemerkt door automatische controle Apple

dinsdag 1 september 2020, 14:08 door Redactie, 3 reacties

Onderzoekers hebben adware voor macOS ontdekt die niet is opgemerkt door de automatische controle van Apple en werd goedgekeurd. Alle software voor macOS 10.15 (Catalina) en nieuwer die van een Developer ID is voorzien moet een "notarizing" proces ondergaan. Via een geautomatiseerd systeem controleert Apple de software op kwaadaardige content en andere zaken. Dit moet gebruikers meer zekerheid over de software geven.

Wanneer er geen problemen zijn aangetroffen genereert het systeem een ticket, dat de ontwikkelaar aan zijn software kan toevoegen. Wanneer een gebruiker vervolgens voor de eerste keer de software opent, weet Gatekeeper dat Apple de software heeft gecontroleerd. Gatekeeper is de beveiligingsfunctie die ervoor moet zorgen dat er alleen betrouwbare software op het systeem wordt uitgevoerd.

Vorige week werd erop het domein homebrew.sh, een kopie van de legitieme website brew.sh, een adwarecampagne ontdekt die gebruikers doorstuurde naar een malafide website. Deze website liet gebruikers geloven dat ze een update voor Adobe Flash Player moesten installeren. In werkelijkheid ging het om een variant van de bekende Shlayer-adware.

Normaliter blokkeert macOS niet-gecontroleerde apps. Dat was met de zogenaamde Flash-update niet het geval. De adware was door de controle van Apple gekomen. Beveiligingsonderzoeker Patrick Wardle waarschuwde Apple, waarna de het ontwikkelaarsaccount, de gebruikte certificaten en notarization van de app werden ingetrokken. Daardoor wordt de adware nu op macOS-systemen geblokkeerd.

Image

Reacties (3)
02-09-2020, 13:19 door Anoniem
Op 19-08-2020 kreeg ik op mijn Windows PC een soortgelijke melding. Het volgende bestand werd gedownload:
flashplayer32ppau_a_install.exe (1.232.968 bytes)

Virus Total meldde dat het bestand schoon is (ook vandaag nog):
https://www.virustotal.com/gui/file/f59cb9a7b44f9032a4390b5c0d758646b1ed12acf4d5362a8571f47642879ff4/detection

Installeerde de volgende bestanden in de Flash directory:
----------------------------------------------------------------------------
FlashUtil64_32_0_0_414_pepper.dll 676.408 bytes
FlashUtil64_32_0_0_414_pepper.exe 1.029.688 bytes
manifest.json 2.221 bytes
pepflashplayer64_32_0_0_414.dll 32.002.616 bytes
pepper.vch 185.723 bytes

Lijkt me volkomen in orde. Ik schrok wel even van dit artikel en van bericht 627591 van 14 oktober 2019, dus ik heb zo-even in mijn browser Flash geblokkeerd...
04-09-2020, 10:32 door Anoniem
Door Anoniem: Op 19-08-2020 kreeg ik op mijn Windows PC een soortgelijke melding. Het volgende bestand werd gedownload:
flashplayer32ppau_a_install.exe....... (1.232.968 bytes)


Heb Flash al jaren niet op de PC staan, maar je werd bij een update altijd naar de Adobe website doorgestuurd. Waarna je dus de laatste Flash kon downloaden.

Een willekeurige website die je een executable aanbied........ Er zijn blijkbaar nog steeds mensen die dit normaal vinden en het dan ook nog installeren.... Zucht.......
04-09-2020, 20:25 door Anoniem
Nawoord:
Ik heb het "voorval" van 19 augustus jl. gereproduceerd. Het betrof een popup in Windows, waarbij mijn browser niet actief was. Dit was het authentieke "Adobe Flash Player bijwerken" venster. Samen met de Virus Total controle en de correcte digitale handtekening van Adobe in het bovengenoemde bestand, weet ik nu zeker dat alles in orde is. Wel heb ik naast de blokkering in mijn browser ook in het configuratiescherm bij "Flash Player (32 bits)" het keuzerondje bij "Updates automatisch installeren" weggehaald. Na het deïnstalleren van Flash onder "Programma's en onderdelen" is het update-tabblad overigens verdwenen. Het onderdeel "Flash Player (32 bits)" is niet uit mijn configuratiescherm verdwenen omdat dit nog steeds een onderdeel is van Windows 8.1. Dit geldt eveneens voor Windows 10. Ook daar standaard geen update-tabblad.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.