在美国拉斯维加斯举办的Defcon黑客大会上，长期研究Mac安全的专家Patrick Wardle展示了他对苹果macOS后台任务管理机制的漏洞研究成果——其发现的漏洞可以被利用来绕过苹果最近添加的恶意软件监控工具。

我们知道，如果某款软件突兀地持久化，则意味着可能存在恶意行为。基于这一点，苹果在2022年10月发布的macOS Ventura中添加了后台任务管理器，用于在“持久化事件”发生时直接向用户和运行在系统上的第三方安全工具发送通知。

Wardle在Defcon上表示：“当某个东西持久化安装在设备上时，应该有那么一款工具来通知用户，这是苹果添加的一个好东西——但具体实施得太糟糕了，以至于任何稍微复杂的恶意软件都可以轻易地绕过监控。”

据Wardle所说，他在发现漏洞的契机是，他自己就写过类似的工具，所以对此十分敏感：“我想知道苹果的工具和框架是否也有同样的问题，结果发现确实有。恶意软件仍然可以以完全不可见的方式持久化。”

Wardle在周六展示的三种绕过方法中，其中一种需要拥有目标设备root权限。但其余两种则都不需要root权限就能够禁用苹果后台任务管理器发送给用户和安全监控产品的持久化通知。其一利用了警报系统与计算机操作系统核心之间通信的错误；其二利用了一种允许用户（即使没有深层系统权限）将进程置于休眠状态的功能，在通知到达用户之前进行干扰。

Wardle此前已向苹果公司报告了这些问题，苹果对此进行了修复。但Wardle表示苹果没有发现该工具的更深层次问题：“就像在飞机坠毁时贴上一些胶带一样，他们没有意识到这个功能需要大量的工作。

编辑：左右里

资讯来源：Wired

转载请注明出处和本文链接