在美國拉斯維加斯舉辦的Defcon黑客大會上,長期研究Mac安全的專家Patrick Wardle展示了他對蘋果macOS后臺任務管理機制的漏洞研究成果——其發現的漏洞可以被利用來繞過蘋果最近添加的惡意軟件監控工具。

我們知道,如果某款軟件突兀地持久化,則意味著可能存在惡意行為。基于這一點,蘋果在2022年10月發布的macOS Ventura中添加了后臺任務管理器,用于在“持久化事件”發生時直接向用戶和運行在系統上的第三方安全工具發送通知。

Wardle在Defcon上表示:“當某個東西持久化安裝在設備上時,應該有那么一款工具來通知用戶,這是蘋果添加的一個好東西——但具體實施得太糟糕了,以至于任何稍微復雜的惡意軟件都可以輕易地繞過監控。”

據Wardle所說,他在發現漏洞的契機是,他自己就寫過類似的工具,所以對此十分敏感:“我想知道蘋果的工具和框架是否也有同樣的問題,結果發現確實有。惡意軟件仍然可以以完全不可見的方式持久化。”

Wardle在周六展示的三種繞過方法中,其中一種需要擁有目標設備root權限。但其余兩種則都不需要root權限就能夠禁用蘋果后臺任務管理器發送給用戶和安全監控產品的持久化通知。其一利用了警報系統與計算機操作系統核心之間通信的錯誤;其二利用了一種允許用戶(即使沒有深層系統權限)將進程置于休眠狀態的功能,在通知到達用戶之前進行干擾。

Wardle此前已向蘋果公司報告了這些問題,蘋果對此進行了修復。但Wardle表示蘋果沒有發現該工具的更深層次問題:“就像在飛機墜毀時貼上一些膠帶一樣,他們沒有意識到這個功能需要大量的工作。

軟件 蘋果 蘋果公司 mac 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接