研究人員發現冒充Mac知名管理套件Homebrew網站上的惡意廣告程式碼,包含通過蘋果公證的憑證,讓這款惡意程式在開啟時,能逃過macOS上GateKeeper軟體審查。(圖片來源/Patrick Wardle)

為防範惡意軟體,蘋果對App檢查向來嚴格,但安全研究人員發現,一隻冒充成Adobe Flash安裝器(installer)的Mac惡意程式,居然成功逃過蘋果的檢查而允許發布。

從macOS 10.15版(Catalina) 起,蘋果要求所有Mac App開發商將其應用程式發布前,送交公證(notarization)檢查程式碼是否有惡意元件。未經公證的Mac App在開啟時,會遭到macOS上GateKeeper軟體的阻擋。

但一名電腦用戶Peter Dantini近日發現一隻漏網之魚。一個冒充Mac知名管理套件Homebrew的網站homebrew[.sh](真網站為brew.sh)上代管了一個廣告,點入後宣稱導引用戶安裝Adobe Flash Player,但Dantini連同安全研究人員Patrick Wardle發現,實際上是名為Shlayer的廣告程式。

事實上,冒充Flash Player安裝器軟體而散布的惡意程式並不少見,但碰上GateKeeper理應會被擋下,因為缺乏蘋果的公證。但Dantini連同安全研究人員Patrick Wardle分析其程式碼,發現這隻程式包含通過蘋果公證的憑證;也就是說,這隻程式送交給蘋果,但蘋果沒有檢查出來而核定發布。Wardle說,這應該是首隻獲得蘋果公證的惡意程式碼。

Wardle指出,一旦被安裝到電腦,Slayer就會下載更多廣告軟體,以進行廣告流量詐欺獲取利益。卡巴斯基分析,Shlayer家族以冒充Adobe Flash Player或更新為主要管散布途徑,因而成為2019年以來危害Mac最主要的惡意程式。

但這並不是Slayer作者第一次展現高明手法躲避安全檢查。Shlayer變種也曾藉由在Google搜尋頁下毒,以便重導引用戶連向假網站下載。

不過周一Techcrunch報導,蘋果已經更新安全機制,現在Mac已經可以封鎖這隻惡意程式。


熱門新聞

Advertisement