近期資安團隊 Jamf Threat Labs 揭露,一款新的 macOS 惡意軟體「MacSync Stealer」變種,竟成功通過蘋果的安全審查,讓系統的 Gatekeeper 完全沒理由阻擋它。也就是說,這款看起來「正常」的 App,其實暗藏後門,卻還是能順利在用戶電腦上執行。
👉 也歡迎收聽《果仁聊科技》Podcast,讓你利用瑣碎時間吸收科技新知!
👂🏻點擊收聽:Apple 在義大利被重罰 34 億元,理由是濫用 iPhone 隱私功能打壓第三方開發者
蘋果認證機制遭繞過,惡意軟體假合法之名潛入
macOS 系統雖然不像 Windows 開放,但 Apple 還是允許用戶從 App Store 以外安裝應用程式,前提是開發者必須取得合法的開發者證書(Developer ID),並送交 Apple 進行「notarization(驗證)」。這個過程原本是為了確認軟體沒問題、來源可信。
但這套制度有個盲點:如果駭客本身就擁有合法證書,甚至從地下市場買來一張,那他們做出來的惡意軟體,外觀看起來就會跟真的 App 一模一樣,系統當然也就不會擋。
像這次被發現的惡意 App,就是用 Swift 語言寫的、看起來很普通的執行檔。等到用戶打開後,才會偷偷連上遠端伺服器下載真正的惡意程式,而這些「後門」在送審時根本不存在,也就不會被發現。
這不是第一次發生,問題到底出在哪?
不過,這套安全機制本身並非完全失效。Notarization 從來就不是要「保證 App 永遠安全」,而是確保一個程式有明確的來源、出問題可以追查。如果哪天發現有惡意行為,Apple 還是能撤銷這張憑證,只是這需要時間。
所以與其把責任全推給 Apple,更現實的做法是提醒使用者「不是 App 有 Apple 認證就一定安全。」
結論:下載 App,來源可信最重要
簡單說,現在連「看起來合法的 App」也可能有問題。macOS 使用者要保護自己,最有效的方式還是只從你信任的開發者官網或 Mac App Store 安裝軟體。
Apple 的安全審查機制並非萬無一失,當攻擊者開始設計手法繞過掃描機制,用戶的警覺心就變得更加關鍵。
延伸閱讀》
如果想知道更多關於 Apple 的消息、教學、小技巧或是科技新知,一定要點擊以下任一 LOGO,追蹤我們的 Facebook 粉絲團、訂閱 IG、YouTube 以及 Telegram。
