“Mac 上不存在病毒这样的东西!” »,向任何愿意聆听国家计算机智慧的古老基金的人重复。 Synack 公司的安全研究员 Patrick Wardle 刚刚在旧金山举行的 RSA 会议上展示了相反的情况。该男子审查了苹果公司最近集成到其系统中的所有保护机制。结论:所有这些都可以很容易地绕过。在某些情况下,该操作甚至是微不足道的。
名单上的第一个:看门人。该设备可以阻止非来自 Mac App Store 的软件安装,所有应用程序均已在 Mac App Store 进行签名。 Wardle 在他的演讲中解释说,问题在于 Gatekeeper 仅执行可执行文件的检查。一旦安装,这很可能会加载不会被验证的外部代码。
对于 XProtect(Mac OS X 的内部反恶意软件)来说,规避方法更加简单,它可以从数据库中识别已知的恶意软件。研究人员表示,只需重新编译恶意软件或更改其名称就足以避开 XProtect 的雷达。这是许多反恶意软件的常见缺陷。因此,苹果公司的表现远没有比其他公司更好。
另一方面,苹果公司的应用程序“沙盒”却赢得了研究人员的一定尊重。据他介绍,这项技术(允许应用程序在封闭且安全的空间中运行)本身就非常有效。但内核中存在许多缺陷,使其可以被规避。与代码签名过程相同的观察结果:帕特里克·沃德尔(Patrick Wardle)找到了相对简单的方法来避免这个障碍。
寻找隐藏恶意软件的软件
其他地方的情况也并不好:专家设法绕过了所有主要第三方工具的保护机制,包括卡巴斯基、Intego 和 Avira。简而言之,Mac 用户并不比 Windows 用户受到更多的保护。唯一的区别是 Mac 上的恶意软件数量仍然相对较少。但这只能让人放心一半。
然而,这位专家不仅容易被批评,他还提供了一种提高Mac OS X下安全性的解决方案。他开发了一个名为KnockKnock的开源工具。该软件以检测模块为关键,对启动时启动并保持隐藏的“持久”进程进行深入分析。偏执的用户会欣赏它。 KnockKnock 可用于GitHub在命令行版本中,以及Objective-see.com在图形版本中。
另请阅读:
Mac OS X Yosemite:刚刚发布,已被黑客攻击,于 18/10/2015
来源 :
介绍帕特里克·沃德尔
