意外的公证人：苹果批准臭名昭著的恶意软件在Mac上运行

什么时候苹果的恶意软件防护可能会比根本没有给用户带来更大的风险？当它证明特洛伊木马程序是安全的，即使它像一个疼痛的拇指一样突出，并代表MacOS平台上最大的威胁之一。

上周末，在苹果批准了最新的“Shlayer”样本之后，全世界都上了这堂实物课。Shlayer是指一种特洛伊木马程序，两年多来，它一直是最多产的Mac恶意软件之一，如果不是最多的话。批准的印章是以苹果在MacOS Mojave中引入的公证机制的形式出现的，用苹果的话说，这是为了“让用户更有信心”，他们安装的应用“已经被苹果检查过是否有恶意组件”。

随着MacOS Catalina的推出，公证成为所有应用程序的必备条件。除非使用苹果没有提到的方法进行安装(稍后将详细介绍)，否则未经公证的应用程序将生成以下通知，声明“无法打开，因为苹果无法检查其是否有恶意软件。”

周五，大学生彼得·H·丹蒂尼(Peter H.Dantini)发现，Homebrew[.]sh-合法自制网站brew.sh的山寨版-正在推送虚假的Adobe Flash更新，并警告用户他们当前的版本缺乏最新的安全更新。

这是一个经典的Shlayer活动，类似于之前数百或数千个也使用虚假Flash更新用广告软件感染用户的活动，除了一个关键的不同之处：该特洛伊木马已经经过苹果的公证。帕特里克·沃德尔(Patrick Wardle)是MacOS和iOS企业管理公司JAMF的安全研究员，他说，他认为这是第一个获得公证“批准”的恶意软件。

周五，Wardle将错误公证的文件通知了苹果，该公司很快撤销了认证，此举阻止了特洛伊木马感染最新的Mac电脑。沃德尔说，周日，他发现该网站正在提供新的恶意有效负载，这些负载再次得到了苹果的公证。

沃德尔在一篇帖子中写道：“不幸的是，一个承诺信任但却未能兑现的系统，最终可能会将用户置于更大的风险之中。”“”怎么会这样呢？如果Mac用户相信苹果的说法，他们可能会完全信任任何和所有经过公证的软件。这是非常有问题的，因为已知的恶意软件(如OSX.Shlayer)已经(微不足道地？)。拿到这样的公证！“。

反病毒提供商MalwareBytes也加入了进来，他说：“不幸的是，它开始看起来公证可能不那么安全，而更多的是安全剧场。”

在一份声明中，苹果官员写道：“恶意软件不断变化，苹果的公证系统帮助我们将恶意软件挡在Mac上，并允许我们在发现恶意软件时做出快速反应。在了解到此广告软件后，我们撤销了已识别的变体，禁用了开发人员帐户，并撤销了相关证书。我们感谢研究人员在保障我们用户安全方面的协助。“。

为苹果辩护，该公司一直明确表示，公证是“一种自动系统，它扫描你的软件是否有恶意内容，检查代码签名问题，并迅速将结果返回给你。”因此，苹果从未将其作为一项全面的安全检查进行介绍。

即使公证阻止了应用程序的正常安装，绕过这个机制也不是那么困难。如下面的截图所示，在Malwarebytes的帮助下，未经公证的Shlayer版本长期以来一直显示带有自定义背景的标记，该背景指示他们右键单击磁盘映像文件，而不是像往常一样双击它，然后选择打开。

与此同时，正如安德鲁·坎宁安(Andrew Cunningham)去年指出的那样，公证对用户和开发人员都是一种负担。坎宁安现在是ARS的自由撰稿人。据推测，苹果授权它增强之前引入的代码签名保护，这些保护要求开发人员使用苹果颁发的密码证书来验证他们的应用程序。如果这项服务让用户更安全，你可能有很好的理由说，不便是值得的。如果新功能给用户一种错误的安全感，那么就很难提出这样的论点。

当公证未能检测到这一特定的恶意软件家族时，它看起来尤其无能为力。正如卡巴斯基实验室(Kaspersky Lab)在1月份报告的那样，Shlayer在大约两年的时间里一直是MacOS的头号威胁，约占2019年在MacOS上检测到的所有检测到的30%。Shlayer还远远超出了广告软件带来的麻烦。例如，在使用点击劫持技术诱骗用户安装自签名加密证书后，恶意软件会解密并读取所有加密的HTTPS流量。它还收集用户ID。

当苹果被周五和周日发现的那些文件迷住时，它的愚蠢之处就更难理解了。

“这是一个假的Flash Player更新...。带着Adobe图标和所有的..。这当然不是Adobe签署的，“沃德尔在一次在线聊天中告诉我。“你可能会认为这是一个很大的危险信号，苹果无论如何都会直接屏蔽，就像，嗯，任何伪装成‘Flash更新’的东西……耶，不，不要公证，因为谁在乎它做什么(比如它是什么恶意软件/广告软件)，obv。”这是假的/恶意的。“