重點文章
要安裝第三方 macOS 軟件,軟件的要通過第三方安全工具的簽名檢查,但是最近這個機制出現了一個萬年漏洞,令惡意軟件可以繞過簽名檢查,安裝到 macOS 之中。
這個萬年漏洞是從 2007 年 OS X Leopard 開始,潛伏了足足 11 年才被發現。從 Ars Technica 網站的報導指,這個萬年漏洞以二進制格式進行,包含多年來用於 Mac 不同 CPU 編寫的文件,透過第三方工具修改 App 的簽名,令 macOS 以為這個惡意 Mac App 是由蘋果官方簽署的,有系統保安專家形容用這個方法繞過蘋果第三方安全工具檢查非常「容易」,令惡意軟件可以透過「蘋果簽名」傳播開去。
上述漏洞是由系統保安公司 Okta 的工程師 Joshua Pitts 在 2 月份發現並呈報給蘋果和第三方開發人員,蘋果曾在 3 月透露第三方開發人員需要進行額外的工作驗證 App 簽名的身份是相同的。
