为防范恶意软件,苹果对App检查向来严格,但安全研究人员发现,一只冒充成Adobe Flash安装器(installer)的Mac恶意程序,居然成功逃过苹果的检查而允许发布。
从macOS 10.15版(Catalina) 起,苹果要求所有Mac App开发商将其应用程序发布前,送交公证(notarization)检查程序代码是否有恶意组件。未经公证的Mac App在打开时,会遭到macOS上GateKeeper软件的阻挡。
但一名计算机用户Peter Dantini近日发现一只漏网之鱼。一个冒充Mac知名管理组件Homebrew的网站homebrew“.sh”(真网站为brew.sh)上托管了一个广告,点入后宣称引导用户安装Adobe Flash Player,但Dantini连同安全研究人员Patrick Wardle发现,实际上是名为Shlayer的广告程序。
事实上,冒充Flash Player安装器软件而传播的恶意程序并不少见,但碰上GateKeeper理应会被挡下,因为缺乏苹果的公证。但Dantini连同安全研究人员Patrick Wardle分析其程序代码,发现这只程序包含通过苹果公证的凭证;也就是说,这只程序送交给苹果,但苹果没有检查出来而核定发布。Wardle说,这应该是首只获得苹果公证的恶意程序代码。
Wardle指出,一旦被安装到计算机,Slayer就会下载更多广告软件,以进行广告流量欺诈获取利益。卡巴斯基分析,Shlayer家族以冒充Adobe Flash Player或更新为主要管传播途径,因而成为2019年以来危害Mac最主要的恶意程序。
但这并不是Slayer作者第一次展现高明手法躲避安全检查。Shlayer变种也曾借由在Google搜索页下毒,以便重引导用户连向假网站下载。
不过周一Techcrunch报道,苹果已经更新安全机制,现在Mac已经可以封锁这只恶意程序。