更新时间:2020-09-10 14:54:22
Apple恶意软件防护何时会给用户带来比根本上更大的风险?当它证明特洛伊木马是安全的时,即使它像拇指一样伸出来,也代表了macOS平台上最大的威胁之一。
世界收到此对象课上周末苹果公司给它的首肯,以最新样本“Shlayer,”给那个一直位居木马名称后最-如果不是在 Mac的恶意软件的最丰富的片二级以上年份。苹果公司在macOS Mojave中采用了公证机制的形式表示认可,正如苹果所说的那样,旨在“让用户更有信心”,他们所安装的应用程序“已经由Apple检查过恶意组件”。
随着macOS Catalina的推出,公证成为所有应用程序的要求。除非使用Apple未提及的方法进行安装(稍后会详细介绍),否则未经公证的应用程序将生成以下通知,指出“由于Apple无法检查恶意软件,因此无法打开”。
经典Shlayer ...有很大的不同
上周五,大学生彼得·H·丹蒂尼(Peter H. Dantini)发现,自制程序[。] sh(合法的自制程序网站brew.sh的仿冒品)正在推送虚假的Adobe Flash更新,并警告用户其当前版本缺少最新的安全更新。
这是一个经典的Shlayer活动,类似于数百或数千个以前的活动,除了使用一个关键区别外,该活动还使用伪造的Flash更新来感染广告软件的用户,但有一个主要区别:该木马已由Apple进行了公证。macOS和iOS企业管理公司Jamf的安全研究员Patrick Wardle表示,他相信这是第一个获得公证“认可印章”的恶意软件。
Wardle上周五将错误的经过公证的文件通知了苹果,该公司迅速撤销了该认证,此举阻止了特洛伊木马感染最新的Mac。Wardle说,周日,他发现该网站正在提供新的恶意负载,这些负载再次被Apple公证。
“不幸的是,一个承诺信任但未能交付的系统最终可能使用户面临更大的风险,” Wardle在帖子中写道。“为何如此?如果Mac用户支持Apple的主张,他们很可能会完全信任任何经过公证的软件。这是非常有问题的,因为已知的恶意软件(例如OSX.Shlayer)已经(通常是?)获得了这种公证!”
防病毒提供商Malwarebytes也对此表示怀疑:“不幸的是,它开始看起来像公证可能会降低安全性,并增加安全性。”
辩护公证
苹果官方在一份声明中写道:“恶意软件不断变化,苹果的公证系统可帮助我们阻止Mac上的恶意软件,并在发现恶意软件后迅速做出响应。得知此广告软件后,我们撤销了所标识的变体,禁用了开发者帐户,并撤销了相关的证书。我们感谢研究人员在确保用户安全方面所提供的帮助。”
在苹果公司的辩护中,该公司一直很清楚,公证是“一种自动化系统,可以扫描您的软件中是否包含恶意内容,检查代码签名问题,并将结果快速返回给您。” 因此,Apple从未将其作为全面的安全检查进行展示。
苹果公司支持的另一点是:当Dantini发现该恶意软件并将其报告给Wardle时,该样本未检测到Virus Total,这是由Alphabet所有的恶意软件扫描服务,该服务汇总了60多个AV提供程序的结果。而且,尽管Google的保镖服务据称扫描了恶意活动,但Google Play商店仍会定期接受恶意应用。
即使公证阻止了应用的正常安装,解决该机制也并不困难。如下图的屏幕快照所示,出于恶意软件字节的目的,Shlayer的未经公证的版本长期以来都带有带有自定义背景的标记,这些标记指示它们右键单击磁盘映像文件,而不是像通常一样双击它,然后选择打开。
无牙...使用起来很痛苦
进一步阅读
macOS 10.15 Catalina:The Ars Technica评测
同时,正如去年 Ars自由撰稿人安德鲁·坎宁安(Andrew Cunningham)所指出的那样,公证对于用户和开发人员都是负担。大概是Apple要求它加强以前引入的代码签名保护,这要求开发人员使用Apple发行的加密证书对他们的应用程序进行身份验证。如果该服务使用户更安全,则可以说不便是值得的。如果新功能给用户带来了错误的安全感,则很难进行争论。
当公证程序无法检测到该恶意软件家族时,它看起来尤其没牙。正如卡巴斯基实验室(Kaspersky Lab)在1月份报道的那样,Shlayer一直是macOS的头号威胁,已经持续了大约两年,占2019年OS上所有检测到的30%左右。Shlayer还远远超出了广告软件的滋扰。例如,在使用点击劫持技术诱使用户安装自签名密码证书之后,恶意软件解密并读取所有加密的HTTPS通信。它还收集用户ID。
苹果公司的愚蠢之举变得更加难以理解,例如当文件出现在周五和周日再次出现时。
“那是一个虚假的Flash播放器更新……带有Adobe图标以及所有……当然不是由Adobe签名的,” Wardle在一次在线聊天中告诉我。“您曾经以为这是一个很大的危险信号,苹果公司将直截了当地阻止任何东西,例如,嗯,任何冒充'Flash'更新的东西...是的,不,请不要公证,因为谁在乎它在做什么(例如,它是什么恶意软件/广告软件)。这是假的/恶意的。”