根據 Jamf Threat Labs 的研究,最近又發現了一種流行的 MacSync Stealer 家族的變種,這突顯了 macOS 安全性日益嚴重的問題:惡意軟件能夠繞過 Apple 最重要的第三方應用保護。這個新變種是在一個惡意應用內部分發,該應用不僅擁有有效的開發者 ID 簽名,還已獲得 Apple 的認證,這意味著 Gatekeeper 沒有理由阻止其啟動。
歷史上來看,Apple 的這一模式運作良好。從 Mac App Store 以外分發的應用必須經過加密簽名和認證,才能無需用戶進行繁瑣操作即可打開。然而,這一信任模型假設簽名能證明良好的意圖。當前的情況顯示,攻擊者獲得了真實的開發者證書,並發送看似無法與正規軟件區分的惡意軟件。
根據多位熟悉此事的人士,攻擊者在達成目標時通常會使用以下幾種方式。許多情況下,他們使用的簽名和認證的惡意應用,可能是使用被破壞的開發者 ID 證書,甚至是通過地下渠道購買的,這樣就大大降低了可疑性。根據 Jamf 報告,新的 MacSync Stealer 變種的初始二進制文件通常是一個相對簡單的 Swift 基於可執行文件,在 Apple 的靜態分析過程中看起來無害,且自身行為較少。
真正的惡意行為通常在應用連接到遠程基礎設施以獲取額外的有效載荷時才會發生。如果這些有效載荷在認證期間不可用,並且只會在實際運行條件下激活,Apple 的掃描器就沒有惡意內容可以分析。認證過程評估的是提交時的內容,而不是應用啟動後可能檢索的內容,攻擊者顯然是在設計上繞過了這一界限。
據悉,Apple 認證的惡意軟件的第一個實例可以追溯到至少 2020 年,當時由一名 Twitter 用戶發現。今年七月,又出現了一個類似的惡意應用,該應用同樣獲得了 Apple 的簽名和認證。那麼,這種情況是否達到了臨界點?或許還沒有。一方面,雖然我認同這種情況的發生即使只有一次也是過多,但另一方面,我認為將責任完全推給 Apple 也過於簡單。
這一系統在很大程度上仍在按設計運行。代碼簽名和認證本來就不是為了保證軟件永遠無害,而是確保能夠追溯到真實開發者,並在發現濫用時撤銷。這是一個引人注目的攻擊向量,未來我將持續關注,直至 2026 年。最終,防範惡意軟件的最佳方法是直接從可信的開發者或 Mac App Store 下載軟件。
Security Bite 是 9to5Mac 每周對 Apple 安全領域的深入探討,每周 Arin Waichulis 都會分析新的威脅、隱私問題、漏洞等,塑造超過 20 億設備的生態系統。
