门禁(Gatekeeper)是macOS系统上的一项安全工具,旨在确保只有受信任的软件才能在 Mac 上运行。不过援引外媒报道,这款应用身份认证功能存在安全漏洞,可以用于传播名为“OSX/Linker”的恶意软件安装包。
当您安装来自 App Store 外部的 Mac 应用、插件和安装器软件时,macOS 会检查 Developer ID 签名和公证状态,以验证软件是不是来自获得认可的开发者并且没有遭到改动。通过 macOS Mojave,开发者还可以让 Apple 来公证他们的应用——这表明应用在分发前已经上传到 Apple 并通过了安全检查。
该漏洞由安全专家Filippo Cavallarin首先发现,主要利用了Mac的两项功能:automount和Gatekeeper。正如外媒Tom's Guide报道,Gatekeeper会将从互联网上下载的文件汇集到苹果XProtect防病毒筛选程序进行审核,但是对于从本地存储设备(通过automount安装)授予文件安全通道,不经过详细审查。Cavallarin能够欺骗Gatekeeper认为下载的文件来自于本地磁盘,从而绕过正常的筛选协议。
Cavallarin表示已经于今年2月份向苹果方面反馈并于5月24日发布了详细信息,但是这个尚未得到修复解决。随附的OSX / Linker恶意软件会试图劫持Mac,从而让计算机从事任何恶意活动,包括加密货币挖掘和数据窃取。
该代码已上传四次到VirusTotal,后者是一个研究人员用于检测和共享恶意软件样本的存储库。目前攻击样本数据并不大,恶意软件已经被Intego软件和可能的其他防病毒工具筛选识别。因此如果用户选择拒绝来自未知来源的下载,相对容易能够避免OSX/Linker恶意软件。