什么时候苹果的恶意软件保护会比完全不保护带来更多的用户风险?当它证明一个木马是安全的，即使它看起来像一个疼痛的拇指，代表macOS平台上最大的威胁之一。

在苹果公司批准了最新的“Shlayer”木马样本后，全世界在周末上了一堂实物课。“Shlayer”是一种木马，两年多来，它一直是最常见的Mac恶意软件之一，如果不是最多产的恶意软件的话。苹果在macOS Mojave中引入了一种公证机制，用苹果自己的话说，这种公证机制“让用户更有信心”，相信他们安装的应用“已经被苹果检查过恶意组件”。

随着macOS Catalina的推出，公证成为所有应用程序的必备条件。除非是用苹果没有提到的方法安装的，沐鸣开户测速否则未经公证的应用程序将会产生如下通知:“无法打开，因为苹果无法检查它是否有恶意软件。”

经典Shlayer……有一个很大的区别

上周五，大学生彼得·h·丹蒂尼(Peter H. Dantini)发现，“家酿计算机”[。山寨的合法的家酿网站brew。他在推一个假的Adobe Flash更新，并警告用户他们的当前版本缺乏最新的安全更新。

这是一个典型的Shlayer运动，类似于之前成百上千个使用虚假Flash更新来感染用户的广告软件，除了一个关键的区别:木马是由苹果公证的。macOS和iOS企业管理公司Jamf的安全研究员帕特里克·沃德尔(Patrick Wardle)说，他认为这是第一个获得认证“批准”的恶意软件。

Wardle在周五通知了苹果公司这个错误公证的文件，苹果公司迅速撤销了这个认证，这一举措防止了木马病毒感染最新的mac电脑。沃德尔周日说，他发现该网站正在提供新的恶意有效负载，这些负载又一次经过了苹果的公证。

沃德尔在一篇帖子中写道:“不幸的是，一个承诺信任却未能兑现的系统，可能最终会让用户面临更大的风险。”“怎么这么?如果Mac用户相信苹果的说法，他们很可能会完全信任任何经过公证的软件。这是非常有问题的，因为已知的恶意软件(如OSX.Shlayer)已经(微不足道的?)获得了这样的公证!”

杀毒软件提供商Malwarebytes也加入了进来，他说:“不幸的是，现在看来公证可能不那么安全，而更安全。”

为公证辩护

在一份声明中，苹果官员写道:“恶意软件不断变化，沐鸣开户测速苹果的公证系统帮助我们将恶意软件挡在Mac电脑之外，并允许我们在发现时迅速做出反应。”在了解到这个广告软件后，我们撤销了已识别的变种，禁用了开发人员帐户，并撤销了相关的证书。我们感谢研究人员对保护用户安全的帮助。”

在苹果的辩护中，该公司一直明确表示，公证是“一个自动系统，可以扫描你的软件，检查恶意内容，检查代码签名问题，并迅速将结果返回给你。”因此，苹果从来没有把它作为一个全面的安全检查。

对苹果有利的另一点是:当丹蒂尼发现恶意软件并报告给沃德尔的时候，样本没有检测到病毒总数。更重要的是，谷歌的游戏商店经常承认恶意应用程序，尽管据说它的保镖服务扫描了不法活动。

即使公证阻止了一个应用程序的正常安装，绕过这个机制也不是那么困难。如下面的截图所示，感谢Malwarebytes, Shlayer的未认证版本长期以来都有一个自定义的背景，指示他们右键单击磁盘图像文件，而不是像往常一样双击它，然后选择open。

与此同时，正如现在是Ars自由撰稿人的安德鲁·坎宁安(Andrew Cunningham)去年指出的那样，公证对用户和开发者来说都是一种负担。据推测，苹果要求它加强之前引入的代码签名保护，即要求开发者使用苹果颁发的加密证书对其应用程序进行认证。如果这项服务让用户更安全，你可能有充分的理由说，带来的不便是值得的。如果新功能给了用户一种错误的安全感，那么就很难提出这样的论点了。

当公证不能检测到这个特殊的恶意软件家族时，它就显得特别无能。正如卡巴斯基实验室在1月份报告的那样，沐鸣开户测速Shlayer在大约两年的时间里一直是macOS最大的威胁，在2019年该OS探测到的所有信号中约占30%。Shlayer还超越了广告软件带来的麻烦。例如，在使用点击劫持技术哄骗用户安装一个自签名加密证书后，恶意软件就会解密并读取所有加密的HTTPS通信。它还可以获取用户id。

更让人难以理解的是，当苹果沉迷于那些在周五和周日发现的文件时。

“这是一个假冒的Flash播放器更新……有Adobe图标和所有…这当然不是由Adobe签署的，”Wardle在一次在线聊天中告诉我。“你可能会认为这是一个大的危险信号，苹果会直接阻止任何伪装成‘Flash’更新的东西……是的，不，不要对此进行公证，因为谁在乎它做了什么(即它是什么恶意软件/广告软件)，显然它是假的/恶意的。”