本栏目《安全快讯》由Mosyle独家为您呈现,它是唯一的苹果统一平台。我们致力于让苹果设备即开即用并确保企业级安全。我们独特的管理与安全集成方法,结合了先进的苹果专用安全解决方案,包括全自动强化与合规、下一代端点检测与响应(EDR)、人工智能驱动的零信任以及独家权限管理,并与市场上最强大、最现代的苹果移动设备管理(MDM)方案相结合。其成果是一个完全自动化的苹果统一平台,目前已获得超过45,000家组织的信任,使数百万台苹果设备无需费力即可投入工作且成本可控。立即申请您的延长试用,了解为何Mosyle是您使用苹果设备的一切所需。
上周,Jamf威胁实验室发布了对日益流行的MacSync窃密木马家族又一变种的研究,揭示了macOS安全中一个不断加剧的问题:恶意软件正规避苹果最重要的第三方应用防护措施。这一新变种通过一个恶意应用进行分发,该应用不仅使用有效的开发者ID进行了代码签名,还获得了苹果的公证,这意味着Gatekeeper没有理由阻止其启动。
从历史来看,苹果的模型一度运行良好。在Mac App Store之外分发的应用必须经过加密签名和公证,用户才能无需复杂操作即可打开。但这种信任模型的前提是,签名能够证明开发者的良好意图。而我们现在看到的是,攻击者正在获取真实的开发者证书,并分发在安装时看起来与合法软件无异的恶意软件。
在与多位知情人士交流后,了解到威胁行为者主要通过以下几种方式实现此目的。在许多情况下,他们会组合使用以下手段:
经过签名和公证的恶意应用可能使用被泄露甚至通过地下渠道购买的开发者ID证书运行,这显著降低了怀疑。正如我们在Jamf关于新MacSync窃密木马变种的报告中所见,初始二进制文件通常是一个相对简单的基于Swift的可执行文件,在苹果的静态分析期间显得无害,且自身几乎不执行任何操作。
真正的恶意行为发生在之后,当应用连接远程基础设施以下载额外有效载荷时。如果这些有效载荷在公证期间不可用,并且仅在真实运行条件下激活,苹果的扫描器便无法分析到恶意内容。公证过程评估的是提交时存在的内容,而非应用启动后可能获取的内容,攻击者显然在围绕这一界限进行设计。
苹果公证恶意软件的首个实例至少可追溯到2020年,由一位推特用户发现。而在今年七月初,又出现了一个类似的经过苹果签名和公证的恶意应用实例。那么,这个问题是否已经到了爆发的临界点?可能尚未至此。一方面,我同意即使只发生一次此类事件也已是过多。另一方面,我认为将责任完全归咎于苹果过于简单。该系统大体上仍按设计运行。代码签名和公证的目的从来不是保证软件永远良性,而是确保软件可以追溯至真实的开发者,并在发现滥用时予以撤销。
这是一个引人入胜的攻击向量,我将持续追踪至2026年。
归根结底,防御恶意软件的最佳方法是从您信任的开发者处直接下载软件,或从Mac App Store获取。
《安全快讯》是我们每周对苹果安全领域的深度解读。每周,Arin Waichulis都会剖析新的威胁、隐私问题、漏洞等,共同塑造一个覆盖超过20亿设备的安全生态。
