התוכנה הזדונית הראשונה שמקורה באפל סיליקוןM1 Macs התגלה על ידי חוקר אבטחה עצמאי פטריק וורדל.
לחוקר ה-NSA לשעבר פטריק ורדלזכה לשבחים לאחרונהאפל על האבטחה שלהM1מעבד, אבל למרות זאת גילה כעת עדויות להאקרים שהרכיבו עבורו תוכנות זדוניות מחדש.
Wardle גילה את קיומה של GoSearch22.app, גרסה מקורית של M1 של תוכנת הפרסום הוותיקה Pirrit. נראה שגרסה זו נועדה להצגת מודעות ולאיסוף נתונים מהדפדפן של המשתמש.
"היום אישרנו שיריבים זדוניים אכן יוצרים יישומים מרובי ארכיטקטורה, כך שהקוד שלהם ירוץ באופן טבעי על מערכות M1", אומר וורדל ב-פוסט בבלוג. "אפליקציית GoSearch22 הזדונית עשויה להיות הדוגמה הראשונה לקוד כזה תואם M1 באופן טבעי."
"יצירת אפליקציות כאלה בולטת משתי סיבות עיקריות", הוא ממשיך. "ראשית (ולא מפתיע), זה ממחיש שקוד זדוני ממשיך להתפתח בתגובה ישירה לשינויי החומרה והתוכנה היוצאים מקופרטינו".
"יש מספר עצום של יתרונות להפצה מקורית של קבצים בינאריים של arm64, אז למה שמחברי תוכנות זדוניות יתנגדו?" הוא ממשיך. "שנית, ומדאיגה יותר, כלי ניתוח (סטטי) או מנועי אנטי-וירוס עשויים להתקשות [לגלות זאת]."
Wardle אומר שמספר מערכות אנטי-וירוס נוכחיות שיכולות לזהות את גרסאות אינטל של Pirrit, לא הצליחו לזהות את גרסת Apple Silicon M1.
אפל ביטלה כעת את אישור המפתח כך שלא ניתן להפעילו. ורדל אומר שמשמעות הדבר היא שיש בעיות מסוימות בנוגע להפצה שלהן שכבר לא ניתן לענות עליהן.
"מה שלא ידוע הוא אם אפל עשתה נוטריון לקוד", ציין ורדל, כלומר האם מפתח שלח אותו לאפל או שעבד סביב אבטחת החברה. "אנחנו לא יכולים לענות על השאלה הזו, כי אפל ביטלה את האישור".
"מה שאנחנו כן יודעים זה", הוא ממשיך, "כיוון שהבינארי הזה זוהה בטבע... בין אם הוא קיבל נוטריון או לא, משתמשי macOS נדבקו."
