如何保護自己免受新的macos安全漏洞的攻擊

Mac使用者註意了：據報道，廣告軟體的建立者利用了macOS Gatekeeper（也稱為“Cavallarin”）最近披露的漏洞。在這種情況下，我們會想起保護你的Mac免受此類問題影響的最佳建議：當有疑問時，從Mac應用商店或可信的第三方來源安裝應用程式，而不僅僅是在網際網路上找到的任何舊東西。...

Illustration for article titled How to Protect Yourself From the New macOS Security Vulnerability

Mac使用者註意了：據報道，廣告軟體的建立者利用了macOS Gatekeeper（也稱為“Cavallarin”）最近披露的漏洞。在這種情況下，我們會想起保護你的Mac免受此類問題影響的最佳建議：當有疑問時，從Mac應用商店或可信的第三方來源安裝應用程式，而不僅僅是在網際網路上找到的任何舊東西。

卡瓦拉林的作用原理

macOS網守檢查所有的應用程式安裝，確認它們是蘋果認證的應用程式。如果一個應用程式還沒有收到蘋果公司的“全部清除”命令，網守會停止安裝並通知使用者。你仍然可以安裝你的應用程式，你只需明確確認安裝換句話說，一個“你真的想這樣做嗎？”檢查蘋果的一部分。

安全研究人員Filippo Cavallarin（因此該漏洞名稱中的“Cavallarin”部分）發現，Gatekeeper的“可信”應用程式標準有一個嚴重缺陷，允許不可信的應用程式欺騙Gatekeeper，使其獲得免費***。由於Gatekeeper將外部驅動器和網路共享的安裝列為白名單，因此攻擊的結果如下：

“攻擊者建立了一個zip檔案，其中包含指向其控制的自動裝載端點的符號連結（例如文件-&gt/net/evil.com/Documents）併傳送給受害者。

受害者下載惡意檔案，提取並跟蹤符號連結。

現在受害者所在的位置由攻擊者控制，但受網守信任，因此任何攻擊者控制的可執行檔案都可以在沒有任何警告的情況下執行。WayFinder的設計（例如hide.app extensi***，hide full path from titlebar）使這項技術非常有效且難以發現。”

卡瓦拉林幾周前發現了旁路，並給蘋果90天時間來修複。蘋果沒有回應，因此卡瓦拉林在5月24日披露了這一漏洞。即使在公開披露之後，蘋果仍然沒有解決這個問題，現在Intego的惡意軟體研究團隊已經看到了網守漏洞在網上出現的初步跡象。

Intego跟蹤了7月6日上傳到Virustotal的四個惡意軟體樣本，每個磁碟映像都指向單個連結伺服器上的同一個潛在惡意應用程式。後來確定這些是早期的惡意軟體測試，現在被稱為“OSX/Linker”，Intego團隊懷疑這些測試是由OSX/Surfbuyer惡意軟體背後的同一個開發人員執行的。

雖然“測試”在這一點上聽起來並不可怕，但Intego安全分析師Joshua Long指出，該漏洞的本質為更糟糕的情況敞開了大門：

…因為磁碟映像中的.app是動態連結的，所以它可以在伺服器端隨時更改，而不需要修改磁碟映像。因此，以後可能會使用相同的磁碟映像（或從未上載到VirusTotal的較新版本）來分發在受害者的Mac上實際執行惡意程式碼的應用程式。

如何防止mac上潛在的cavallarin攻擊

此時，最容易的預防方法就是堅持蘋果認證的應用程式，首先是從應用商店，並對你從你不認識的來源下載的應用程式有健康的懷疑。目前還不清楚蘋果需要多長時間才能修補Mac系統中的這個漏洞。

Intego的高階VirusBarrier X9和Flexivity防病毒程式已將作業系統/連結器威脅新增到其登錄檔中，您還可以使用免費的VirusBarrier掃描程式檢查您的系統是否存在與該漏洞相關的任何已知威脅。這些將在檢測到的威脅下顯示為“OSX/Linker”。Intego要求被感染的使用者透過他們的線上提交表單與他們聯絡。

您可以為您的系統調查其他預防方法，但風險更大，因為它們需要禁用和編輯關鍵的macOS安全措施。你可以參考Intego關於Cavallarin漏洞的部落格來獲得更多資訊，但是我們建議你只需要練習更安全的線上習慣。如果你對你要在你的機器上安裝什麼有任何疑問，在你繼續之前給它一個快速的病毒掃描。