На днях тематические яблочные ресурсы облетела тревожная новость: исследователи из Palo Alto Networks обнаружили новое вредоносное ПО, нацеленное на технику Apple — причём как настольную, под OS X, так и портативную под iOS. Вирус получил название WireLurker («крадущийся по проводу»), т.к. заражение портативных гаджетов происходило при их подключении через USB к Mac, являющемуся носителем malware. Однако самое неприятное то, что вирус оказался на редкость зловредным — в частности, впервые в истории угрозе заражения подверглись iOS-устройства, не прошедшие джейлбрейка.
Всё это не могло не вызвать закономерного беспокойства у владельцев устройств Apple. Однако, как оказалось чуть позже, всё далеко не так печально, как могло бы показаться на первый взгляд. Об этом пишут специалисты авторитетного издания iMore, которые провели разбор ситуации. И общий вывод из этого разбора я бы сформулировал так: не так страшен WireLurker, как человеческая беспечность.
Разумеется, вируса стоит остерегаться — ничего хорошего он не несёт. Однако повода бегать кругами и дёргать руками, дрожа от страха, однозначно нет. Даже повода для особого беспокойства нет. Автор материала на iMore, Ник Арнотт (Nick Arnott), пишет следующее: «Практически никто из тех, кто читает этот текст, не подвержен опасности со стороны WireLurker, а те, кто подвержен, могут её легко избежать». И вот почему.
Во-первых, вопросами безопасности в Apple заведуют далеко не дилетанты. Не прошло и пары дней, как компания приняла необходимые меры для противодействия WireLurker — и не факт, что дело ограничится лишь ими. Но уже то, что приложения, замеченные в распространении «заразы», были лишены сертификатов, означает очень много: даже уже установленные копии попросту не запустятся, поскольку iOS не позволит этого сделать без должного сертификата. Исключением, правда, является джейлбрейк, но об этом ниже.
Во-вторых, даже если не брать во внимание решение от Apple (или предположить, что создатели WireLurker обойдут его) — остаются сами операционные системы. Специалисты в iMore не проверяли, как происходит заражение на OS X, однако на iOS без джейлбрейка единственное, что может делать WireLurker — это загружать приложения с корпоративными сертификатами. Ещё раз: только загружать. После этого пользователь должен будет вручную запустить приложение, а затем ещё и подтвердить запуск программы от неизвестного разработчика. И даже после этого возможности программы будут здорово ограничены собственными мерами безопасности iOS.
Навряд ли ситуация принципиально отличается и на Mac. Другое дело, что многие образцы malware созданы таким образом, чтобы всеми возможными способами заставить пользователя ввести пароль или одобрить сомнительный запрос — но тут опять же дело не в ПО, а во внимательности самих пользователей.
А вот у владельцев iДевайсов с джейлбрейком поводов для беспокойства значительно больше. Процедура «джейла» предполагает отключение многих средств безопасности, что позволяет WireLurker совершать различные дополнительные пакости — такие, как модификация системного ПО и копирование различных данных, в частности, адресной книги и Apple ID из всех iMessage. Хотя содержанием самих сообщений, что странно, вирус не интересуется — по крайней мере, пока.
Но тут стоит вспомнить «в-третьих». А в-третьих у нас — география. Затронут вирусом оказался всего лишь один китайский магазин пиратских приложений под Mac. Много ли отечественных (а тем более — западных) «маководов» ходят на китайские ресурсы за софтом?
Сюда же — в-четвёртых: речь пока идёт именно о пиратских приложениях. И нет никаких оснований предполагать даже то, что вирус может просочиться в лицензионное ПО в обозримом будущем, не говоря уже о его наличии в нём сейчас. В этой связи коллеги на iMore выражаются предельно чётко и просто:
Если вы не являетесь завсегдатаем китайских магазинов пиратского ПО и не скачиваете пиратские приложения под Mac, вы в безопасности. В противном случае, если вы беспокоитесь насчёт WireLurker — прекратите заглядывать в «пиратские» магазины и загружать пиратское ПО. Тогда вы тоже будете в безопасности.
Ну и в-пятых: даже если есть основания подозревать заражение — уже есть инструменты для исправления ситуации.
Для пользователей Mac упоминаемая уже Palo Alto Networks опубликовала на GitHub инструмент для обнаружения вируса. Для тех, кто пользуется более ранней iOS, чем iOS 8, есть возможность зайти в Настройки -> Общие -> Профили и проверить наличие «левых» профилей распространения (distribution profiles). С iOS 8, правда, понадобится дополнительный инструмент для Mac — вроде Xcode или iPhone Configuration Utility: через него можно посмотреть имеющиеся корпоративные профили распространения и удалить нежелательные. И даже джейлбрейк не является препятствием: на таких устройствах стоит удалить неизвестные профили и подозрительные приложения, а также проверить наличие файла «/Library/MobileSubstrate/DynamicLibraries/sfbase.dylib», и, при необходимости — «снести» вручную и его.
А правила профилактики описаны ещё в первой новости о вирусе.
Подводя итог, можно сказать: Apple не просто здорово вкладывается в вопросы безопасности — она организует всё таким образом, что нормально обойти встроенную защиту можно лишь при непосредственном участии самого пользователя (вроде ухищрений, предпринимаемых для пользования пиратским ПО). И этого нисколько не отменяет то, что технически WireLurker действительно является чем-то новым в «яблочном» вирусописании. При нынешнем состоянии «malware новой эпохи» законопослушные пользователи могут спать спокойно. Да и в ближайшем будущем навряд ли что-то кардинально изменится.