上海
近期研究显示,越来越多的macOS恶意软件成功通过了苹果的公证(notarization)流程,从而绕过系统安全机制Gatekeeper。2025年12月,Jamf威胁实验室披露了一种新型MacSync Stealer窃密木马变种,该恶意程序不仅使用有效的开发者ID签名,还获得了苹果官方公证,使用户在运行时不会触发任何警告。
此类攻击利用了苹果当前安全模型的局限性:公证过程仅对提交时的代码进行静态分析,无法检测应用在运行后从远程服务器下载的后续恶意载荷。攻击者借此提交看似无害的初始程序,待其安装并连接网络后再激活真正的恶意功能。这种方式使得恶意软件在技术上符合苹果的安全要求,却仍可在用户设备上执行非法操作。
据调查,攻击者获取合法开发者证书的途径包括盗用或通过地下渠道购买,进一步降低系统的可疑度。尽管首例苹果公证恶意软件早在2020年即被发现,2025年7月也曾出现类似案例,但此类事件尚未达到大规模爆发程度。然而,安全专家指出,即使仅有一例成功绕过防护,也表明现有机制存在可被利用的漏洞。
苹果的设计初衷是通过代码签名和公证实现责任追溯与快速撤销,而非确保软件永久可信。因此,该体系在设计上依赖事后响应而非绝对预防。随着此类攻击持续演化,专家建议用户优先从Mac App Store或可信赖开发者官网下载软件,以降低感染风险。
本文信息来源于9to5Mac于2025年12月28日发布的Security Bite栏目,作者为Arin Waichulis。
参考链接:
https://9to5mac.com/2025/12/28/security-bite-a-note-on-the-growing-problem-of-apple-notarized-malware-on-macos/
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
