惡意軟體在 macOS 上橫行無阻,居然還通過蘋果官方安全認證
根據國外資安研究團隊的爆料,有一批獲得蘋果官方公證的應用程式,近期出現於 macOS 系統上,但經過深入研究後發現,這些 App 根本就是惡意軟體,引起外界質疑蘋果的認證流程是否出現了問題。
根據國外資安研究團隊的爆料,有一批獲得蘋果官方公證的應用程式,近期出現於 macOS 系統上,但經過深入研究後發現,這些 App 根本就是惡意軟體,引起外界質疑蘋果的認證流程是否出現了問題。
在 2019 年蘋果(Apple)官方正式宣告,未來所有執行於 macOS 上的應用程式或外掛模組,不是得透過 App Store 進行驗證後發布,就是要提供給官方進行「公證」(Notarization)程序,經安全性檢查合格後,開發者才能於自己的網站或平台上,提供程式給予使用者下載、安裝。
時間推移至今年 2 月,蘋果的公證程序開始上路,macOS 中的安全軟體 Gatekeeper,將會阻擋任何未經官方授權的應用程式,執行在使用者的電腦上。照道理來說,蘋果的做法雖然十分嚴格,但卻是保障系統安全的絕佳方式。
▲ macOS 的公證流程,沒有經過官方許可的應用程式將無法執行。
只不過,公證制度實行至今僅短短數個月,就有國外安全研究人員發現,有套軟體雖然獲得了蘋果官方認可,允許執行於 macOS 作業系統,但 App 實際上卻帶有惡意行為。
常見攻擊手法卻成漏網之魚
著名的 Mac 安全研究人員 Peter Dantini 與 Patrick Wardle 發現,有套經過蘋果官方公證的 App,偽裝成 Adobe Flash 安裝程式,近期於網路上肆意流竄。在這款 App 中,安全人員分析出其包含了名為 Shlayer 的木馬軟體下載程式,一但 macOS 使用者打開它,接著就會遭到大量廣告不斷轟炸。
網路安全和反病毒公司卡巴斯基曾在 2019 年表示,Shlayer 是目前 macOS 電腦上「最常見的威脅」,其本質為網頁綁架與惡意顯示廣告,而偽裝成其它正規軟體的手法,更是資安攻擊非常普遍的情況。
▲ 惡意軟體獲得蘋果公證後,居然正常執行於 macOS 作業系統。
Patrick Wardle 指出,這次事件很可能是蘋果第一次「誤發」公證給予惡意軟體,更代表著蘋果的安全檢查機制有所漏洞,並沒有成功偵測到該 App 的惡意行為或惡意程式碼。
當安全人員向蘋果進行回報後,官方馬上撤下了該惡意 App 的公證許可,macOS 的 Gatekeeper 未來將在此應用程式執行時直接攔截。
惡意程式不斷取得新的公證
蘋果公司表示,macOS 的公證流程可以讓不斷變化的惡意軟體排除在系統之外,即便有漏網之魚也能夠即刻反應。在官方得知該 App 為廣告程式之後,蘋果立刻撤銷了該應用程式的公證許可,並且禁用提交該 App 進行審核的開發者帳戶,同時感謝安全人員的熱心回報。
只不過,蘋果雖然即時撤銷了有問題的許可,但 Patrick Wardle 卻指出攻擊者在不久之後,居然又獲得了新的公證,再度利用相同手法繞過 macOS 的安全防護。當然,蘋果隨後也再度封鎖此 App,但這場貓捉老鼠的遊戲,目前似乎還看不見結束的時候。
來源:TechCrunch