恶意软件在macOS上横行无阻,居然还通过苹果官方安全认证

根据海外安全研究团队的爆料,有一批获得苹果官方公证的应用程序,近期出现于macOS系统上,但经过深入研究后发现,这些App根本就是恶意软件,引起外界质疑苹果的认证流程是否出现了问题。

在2019年苹果(Apple)官方正式声明,未来所有执行于macOS上的应用程序或插件模块,不是得通过App Store进行验证后发布,就是要提供给官方进行“公证”(Notarization)程序,经安全性检查合格后,开发者才能于自己的网站或平台上,提供程序给予用户下载、安装。

时间推移至今年2月,苹果的公证程序开始上路,macOS中的安全软件Gatekeeper,将会阻挡任何未经官方授权的应用程序,执行在用户的计算机上。照道理来说,苹果的做法虽然十分严格,但却是保障系统安全的绝佳方式。

macOS的公证流程,没有经过官方许可的应用程序将无法执行。

只不过,公证制度实行至今仅短短数个月,就有海外安全研究人员发现,有套软件虽然获得了苹果官方认可,允许执行于macOS操作系统,但App实际上却带有恶意行为。

著名的Mac安全研究人员Peter Dantini与Patrick Wardle发现,有套经过苹果官方公证的App,伪装成Adobe Flash安装程序,近期于网络上肆意流窜。在这款App中,安全人员分析出其包含了名为Shlayer的木马软件下载程序,一旦macOS用户打开它,接着就会遭到大量广告不断轰炸。

网络安全和反病毒公司卡巴斯基曾在2019年表示,Shlayer是目前macOS计算机上“最常见的威胁”,其本质为网页绑架与恶意显示广告,而伪装成其它正规软件的手法,更是安全攻击非常普遍的情况。

恶意软件获得苹果公证后,居然正常执行于macOS操作系统。

Patrick Wardle指出,这次事件很可能是苹果第一次“误发”公证给予恶意软件,更代表着苹果的安全检查机制有所漏洞,并没有成功侦测到该App的恶意行为或恶意程序代码。

当安全人员向苹果进行回应后,官方马上撤下了该恶意App的公证许可,macOS的Gatekeeper未来将在此应用程序执行时直接拦截。

苹果公司表示,macOS的公证流程可以让不断变化的恶意软件排除在系统之外,即便有漏网之鱼也能够即刻反应。在官方得知该App为广告程序之后,苹果立刻撤销了该应用程序的公证许可,并且禁用提交该App进行审核的开发者账户,同时感谢安全人员的热心回应。

只不过,苹果虽然即时撤销了有问题的许可,但Patrick Wardle却指出攻击者在不久之后,居然又获得了新的公证,再度利用相同手法绕过macOS的安全防护。当然,苹果随后也再度封锁此App,但这场猫捉老鼠的游戏,目前似乎还看不见结束的时候。

来源:TechCrunch

发表评论