一冒充Flash軟體的Mac惡意程式逃過蘋果檢查放行

防範惡意軟體，蘋果對App檢查向來嚴格，但安全研究人員發現，一隻冒充成Adobe Flash安裝器（installer）的Mac惡意程式，居然成功逃過蘋果的檢查而允許發布。

從macOS 10.15版(Catalina) 起，蘋果要求所有Mac App開發商將其應用程式發布前，送交公證（notarization）檢查程式碼是否有惡意元件。未經公證的Mac App在開啟時，會遭到macOS上GateKeeper軟體的阻擋。

但一名電腦用戶Peter Dantini近日發現一隻漏網之魚。一個冒充Mac知名管理套件Homebrew的網站homebrew[.sh]（真網站為brew.sh）上代管了一個廣告，點入後宣稱導引用戶安裝Adobe Flash Player，但Dantini連同安全研究人員Patrick Wardle發現，實際上是名為Shlayer的廣告程式。

事實上，冒充Flash Player安裝器軟體而散布的惡意程式並不少見，但碰上GateKeeper理應會被擋下，因為缺乏蘋果的公證。但Dantini連同安全研究人員Patrick Wardle分析其程式碼，發現這隻程式包含通過蘋果公證的憑證；也就是說，這隻程式送交給蘋果，但蘋果沒有檢查出來而核定發布。Wardle說，這應該是首隻獲得蘋果公證的惡意程式碼。

Wardle指出，一旦被安裝到電腦，Slayer就會下載更多廣告軟體，以進行廣告流量詐欺獲取利益。卡巴斯基分析，Shlayer家族以冒充Adobe Flash Player或更新為主要管散布途徑，因而成為2019年以來危害Mac最主要的惡意程式。

但這並不是Slayer作者第一次展現高明手法躲避安全檢查。Shlayer變種也曾藉由在Google搜尋頁下毒，以便重導引用戶連向假網站下載。

不過周一Techcrunch報導，蘋果已經更新安全機制，現在Mac已經可以封鎖這隻惡意程式。