“Mac 上不存在病毒這樣的東西!” »,向任何願意聆聽國家計算機智慧的古老基金的人重複。 Synack 公司的安全研究員 Patrick Wardle 剛剛在舊金山舉行的 RSA 會議上展示了相反的情況。該男子審查了蘋果最近整合到其係統中的所有保護機制。結論:所有這些都可以輕鬆繞過。在某些情況下,該操作甚至是微不足道的。
名單上的第一個:看門人。該設備可阻止非來自 Mac App Store 的軟體安裝,所有應用程式均已在 Mac App Store 進行簽署。 Wardle 在他的演講中解釋說,問題在於 Gatekeeper 僅執行可執行檔的檢查。一旦安裝,這很可能會載入不會被驗證的外部程式碼。
對於 XProtect(Mac OS X 的內部反惡意軟體)來說,規避方法更加簡單,它可以從資料庫中識別已知的惡意軟體。研究人員表示,只需重新編譯惡意軟體或更改其名稱就足以避開 XProtect 的雷達。這是許多反惡意軟體的常見缺陷。因此,蘋果公司的表現遠沒有比其他公司好。
另一方面,蘋果的應用程式「沙盒」卻贏得了研究人員的一定尊重。據他介紹,這項技術(允許應用程式在封閉且安全的空間中運行)本身就非常有效。但核心中存在許多缺陷,使其可以被規避。與程式碼簽名過程相同的觀察結果:派崔克·沃德爾(Patrick Wardle)找到了相對簡單的方法來避免這個障礙。
尋找隱藏惡意軟體的軟體
其他地方的情況也不好:專家設法繞過了所有主要第三方工具的保護機制,包括卡巴斯基、Intego 和 Avira。簡而言之,Mac 用戶並不比 Windows 用戶受到更多的保護。唯一的區別是 Mac 上的惡意軟體數量仍然相對較少。但這只能讓人放心一半。
然而,這位專家不僅容易被批評,他還提供了一個提高Mac OS X下安全性的解決方案。該軟體以檢測模組為關鍵,對啟動時啟動並保持隱藏的「持久」進程進行深入分析。偏執的用戶會欣賞它。 KnockKnock 可用於GitHub在命令列版本中,以及Objective-see.com在圖形版本中。
另請閱讀:
Mac OS X Yosemite:剛發布,已被駭客攻擊,於 18/10/2015
來源 :
介紹派崔克·沃德爾
