潛伏 11 年!macOS 現「萬年漏洞」令惡意軟件繞過簽名檢查

要安裝第三方 macOS 軟件,軟件的要通過第三方安全工具的簽名檢查,但是最近這個機制出現了一個萬年漏洞,令惡意軟件可以繞過簽名檢查,安裝到 macOS 之中。

這個萬年漏洞是從 2007 年 OS X Leopard 開始,潛伏了足足 11 年才被發現。從 Ars Technica 網站的報導指,這個萬年漏洞以二進制格式進行,包含多年來用於 Mac 不同 CPU 編寫的文件,透過第三方工具修改 App 的簽名,令 macOS 以為這個惡意 Mac App 是由蘋果官方簽署的,有系統保安專家形容用這個方法繞過蘋果第三方安全工具檢查非常「容易」,令惡意軟件可以透過「蘋果簽名」傳播開去。

上述漏洞是由系統保安公司 Okta 的工程師 Joshua Pitts 在 2 月份發現並呈報給蘋果和第三方開發人員,蘋果曾在 3 月透露第三方開發人員需要進行額外的工作驗證 App 簽名的身份是相同的。

一個看上去像玩票性質但內裡擁有重度硬頸立場的科技玩家,在香港傳統傳媒墮落之時重新出發,為大家提供蘋果產品、其他科技產品和生活情報。