研究人员发现一款MacOS广告软件使用了苹果公证的恶意软件；接到通知后，苹果将其关闭，但随后又出现了另一个经过公证的变体

几十年来，与使用Windows的用户相比，Mac用户不必那么担心恶意软件，但在过去的几年里，这种情况开始改变。为了打击广告软件和勒索软件等日益增长的威胁，苹果在2月份开始对所有MacOS应用程序进行公证，这一审查程序旨在剔除非法或恶意应用程序。即使是在Mac App Store之外分发的软件现在也需要公证，否则用户在没有特殊解决方法的情况下无法运行它们。然而，七个月后，研究人员发现了一场活跃的广告软件运动，用同样的旧有效负载攻击Mac用户-而且恶意软件已经由苹果公司完全公证。

这项活动正在分发无处不在的Shlayer广告软件，根据某些统计，近年来这种广告软件影响了多达十分之一的MacOS设备。该恶意软件表现出标准的广告软件行为，比如在搜索结果中插入广告。目前尚不清楚Shlayer是如何通过苹果的自动扫描和检查获得公证的，特别是考虑到它与过去的版本几乎完全相同。但这是已知的第一个针对MacOS进行恶意软件公证的例子。

大学生彼得·丹蒂尼(Peter Dantini)在浏览流行的开源Mac开发工具Homebrew的主页时发现了Shlayer的公证版本。Dantini不小心键入了与brew.sh略有不同的内容，即正确的URL。他登陆的页面多次重定向到一个假的Adobe Flash更新页面。丹蒂尼很想知道他可能会发现什么恶意软件，于是故意下载了它。令他惊讶的是，MacOS弹出了关于从互联网下载的程序的标准警告，但并没有阻止他运行该程序。当丹蒂尼确认它经过公证后，他将信息发送给了长期从事MacOS安全研究的帕特里克·沃德尔(Patrick Wardle)。

Mac管理公司JAMF的首席安全研究员沃德尔(Wardle)表示：我一直在期待，如果有人滥用公证系统，那会是某种更复杂或更复杂的东西。但在某种程度上，我对广告软件最先做到这一点并不感到惊讶。广告软件开发人员非常有创新精神，而且不断进化，因为如果他们不能绕过新的防御措施，他们将损失一大笔钱。公证是许多标准广告活动的丧钟，因为即使用户被骗点击并试图运行软件，MacOS现在也会阻止它。

Wardle于8月28日将流氓软件通知苹果，该公司同一天吊销了Shlayer公证证书，在安装该恶意软件的任何地方进行了中性处理，供未来下载。然而，在8月30日，沃德尔注意到广告软件活动仍然活跃，并分发相同的Shlayer下载。他们只是使用不同的苹果开发者ID进行了公证，就在公司开始吊销原始证书几个小时后。8月30日，沃德尔向苹果通报了这些新版本。

苹果公司在一份声明中表示，恶意软件不断变化，苹果的公证系统帮助我们将恶意软件挡在Mac电脑之外，并允许我们在发现恶意软件时迅速做出反应。得知此广告软件后，我们撤销了已识别的变体，禁用了开发人员帐户，并撤销了相关证书。我们感谢研究人员在保护我们的用户安全方面给予的帮助。

苹果还在其公证材料中区分了更全面的iOS App Review和针对MacOS应用的检查。

公证不是App Review，该公司写道。苹果公证服务是一个自动系统，它会扫描您的软件中的恶意内容，检查代码签名问题，并快速将结果返回给您。"；

在苹果引入公证之前，恶意软件开发人员只需每年支付99美元购买苹果开发人员ID，这样他们就可以将自己的软件签名为合法软件。任何不是从Mac App Store下载的应用程序都会在用户试图运行它时触发警告，要求确保从互联网下载的程序可以安全使用，但用户可以很容易地点击它们。公证使得部署恶意软件变得更加困难--或者至少这是我们的想法。沃德尔说，根据他提交自己的安全工具进行审查的经验，苹果最初的自动检查只需要几分钟就能获得批准。尽管如此，糟糕的演员显然正在悄悄溜走。

安全公司MalwareBytes的Mac和移动平台主管托马斯·里德(Thomas Reed)表示，我非常确定恶意应用程序会在公证过程中溜走，所以这并不让我感到惊讶。事实上，我一直在考虑写一款可以展示典型恶意行为的应用程序，并试图将其公证。不幸的是，这省去了我的麻烦。这是我一直在等待的公证无效的证据。

里德还指出，他开始看到像广告软件这样的Mac恶意软件不断演变，以绕过公证。一种方法是分发完全未经苹果签名和批准的软件，通过告诉用户期待苹果的警告来欺骗用户安装，然后引导他们完成解决办法的过程。

与任何基于信任的系统一样，公证可以帮助苹果公司保持相当严密的安全，但任何偷偷通过的东西都会迅速传播开来，因为它得到了公司的授权。这在苹果的iOS应用商店和谷歌的Play Store审查过的Android应用中都已经是一个问题了。恶意应用程序经常会溜进来，然后被毫无戒心的用户下载。

恶意软件扫描程序仍然会检测到经过公证的Shlayer安装是恶意的，但任何没有运行杀毒软件的人都会倒霉。

任何人在检测恶意软件时都会犯错误，因为这很难做到。总体而言，从安全的角度来看，我仍然认为公证是很好的一步，沃德尔说。但是普通用户会信任苹果--我也是！因此，如果某件东西说它是经过公证的，即使是一个有安全意识的用户也更有可能相信它是可以的。

✨使用我们齿轮团队的最佳选择优化您的家庭生活，从机器人吸尘器到价格实惠的床垫再到智能扬声器