近期资安团队 Jamf Threat Labs 揭露,一款新的 macOS 恶意软件「MacSync Stealer」变种,竟成功通过苹果的安全审查,让系统的 Gatekeeper 完全没理由阻挡它。 也就是说,这款看起来「正常」的 App,其实暗藏后门,却还是能顺利在用户电脑上执行。
苹果认证机制遭绕过,恶意软件假合法之名潜入
macOS 系统虽然不像 Windows 开放,但苹果还是允许用户从 App Store 以外安装应用程序,前提是开发者必须取得合法的开发者证书(Developer ID),并送交 Apple 进行「notarization(验证)」。 这个过程原本是为了确认软件没问题、来源可信。
但这套制度有个盲点:如果黑客本身就拥有合法证书,甚至从地下市场买来一张,那他们做出来的恶意软件,外观看起来就会跟真的App一模一样,系统当然也就不会挡。
像这次被发现的恶意App,就是用 Swift 语言写的、看起来很普通的执行文件。 等到用户打开后,才会偷偷连上远程服务器下载真正的恶意程序,而这些「后门」在送审时根本不存在,也就不会被发现。
这不是第一次发生,问题到底出在哪?
其实,第一个「被Apple notarize 的恶意程式」早在 2020 年就被发现。 2025年中也有另一款类似的案例。 虽然不能说这种情况已经大爆发,但越来越多黑客开始利用这个漏洞,确实是个值得注意的趋势。
不过,这套安全机制本身并非完全失效。 Notarization 从来就不是要保证 App 永远安全,而是确保一个程序有明确的来源、出问题可以追查。 如果哪天发现有恶意行为,苹果还是能撤销这张凭证,只是这需要时间。
所以与其把责任全推给苹果,更现实的做法是提醒用户「不是 App 有苹果认证就一定安全。」
结论:下载 App,来源可信最重要
简单说,现在连「看起来合法的 App」也可能有问题。 macOS 用户要保护自己,最有效的方式还是只从你信任的开发者官网或 Mac App Store 安装软件。
Apple 的安全审查机制并非万无一失,当攻击者开始设计手法绕过扫描机制,用户的警觉心就变得更加关键。
