彼得·什库塔 三个月前,Gatekeeper 功能中发现了一个漏洞,该功能本应保护 macOS 免受潜在有害软件的侵害。没过多久,第一次虐待尝试就出现了。
Gatekeeper 旨在控制 Mac 应用程序。未经 Apple 签名的软件 然后系统将其标记为潜在危险 并在安装前需要额外的用户权限。
它可能是 你感兴趣
阿玛亚·托曼 然而,安全专家 Filippo Cavallarin 发现了该应用程序签名检查本身的问题。事实上,真实性检查可以通过某种方式完全绕过。
在目前的形式中,Gatekeeper 将外部驱动器和网络存储视为“安全位置”。这意味着它允许任何应用程序在这些位置运行而无需再次检查。这样,用户很容易被欺骗,在不知情的情况下安装共享驱动器或存储。该文件夹中的任何内容都很容易被 Gatekeeper 绕过。
换句话说,一个签名的应用程序可以快速为许多其他未签名的应用程序打开道路。卡瓦拉林尽职尽责地向苹果报告了该安全漏洞,然后等待了 90 天才得到答复。在此期限之后,他有权发布该错误,他最终也这样做了。库比蒂诺没有人响应他的倡议。
第一次尝试利用该漏洞会产生 DMG 文件
与此同时,安全公司 Intego 发现了利用此漏洞的尝试。上周晚些时候,恶意软件团队发现有人尝试使用 Cavallarin 描述的方法分发恶意软件。
最初描述的错误使用了 ZIP 文件。另一方面,新技术则在磁盘映像文件上碰碰运气。
磁盘映像要么采用带有 .dmg 扩展名的 ISO 9660 格式,要么直接采用 Apple 的 .dmg 格式。通常,ISO 映像使用扩展名 .iso、.cdr,但对于 macOS,.dmg(Apple 磁盘映像)更为常见。这并不是恶意软件第一次尝试使用这些文件,显然是为了躲避反恶意软件程序。
Intego 于 6 月 6 日总共捕获了 VirusTotal 捕获的四个不同样本。各个发现之间的差异大约是几个小时,并且它们都通过网络路径连接到 NFS 服务器。
伪装成 Adobe Flash Player 的 OSX/Surfbuyer 广告软件
专家们发现这些样本与 OSX/Surfbuyer 广告软件惊人地相似。这是一种广告软件恶意软件,不仅在浏览网页时骚扰用户。
这些文件伪装成 Adobe Flash Player 安装程序。这基本上是开发人员试图说服用户在 Mac 上安装恶意软件的最常见方式。第四个样本由开发者帐户 Mastura Fenny (2PVD64XRF3) 签名,该帐户过去已被用于数百个假 Flash 安装程序。它们都属于 OSX/Surfbuyer 广告软件。
到目前为止,捕获的样本除了临时创建一个文本文件之外什么也没做。由于应用程序在磁盘映像中动态链接,因此可以随时轻松更改服务器位置。并且无需编辑分发的恶意软件。因此,经过测试,创建者很可能已经使用包含的恶意软件编写了“生产”应用程序。它不再需要被 VirusTotal 反恶意软件捕获。
它可能是 你感兴趣
丹尼尔·赫鲁斯卡 Intego 向 Apple 报告了该开发者帐户,要求撤销其证书签名权限。
为了提高安全性,建议用户主要从 Mac App Store 安装应用程序,并在从外部来源安装应用程序时考虑其来源。
来源: 9to5Mac
