（本文关键词：Mac系统 安全防护 威胁）

苹果设备一直以来因其出色的“安全性”而备受消费者的青睐。近年来，它的受欢迎程度已经开始令它超越个人消费市场，逐渐进入企业办公环境。黑客们似乎正在等待这一时机，也开始行动起来，这无论对于苹果用户还是安全人员来说都是一个新的挑战。

《Mac恶意软件的艺术：恶意软件分析指南》封面 图片来源于互联网

安全公司Objective-See的创始人帕特里克·沃德尔（Patrick Wardle）撰写了《Mac恶意软件的艺术：恶意软件分析指南》（The Art of Mac Malware: The Guide to Analyzing Malicious Software）一书。此书详细介绍了Mac计算机面临威胁的综合指南以及成为熟练的 Mac 恶意软件分析师所需的基础知识。接下来，我们看看专业人士是如何说的。

一、Mac电脑使用量的增加以及运用环境的改变，已引起黑客的关注

Mac电脑是消费者最想要的设备之一，但长期以来由于存在各种限制，它们很少被考虑用于工作场所。但这已经是过去式了。近年来，Mac电脑不断进入办公领域，许多工程师、开发人员甚至企业高管都将Mac电脑放在自己的办公桌上使用。因此，传统上被黑客们忽视的Mac电脑已成为了关注焦点。

对此，沃德尔表示：“在工作环境下，Mac电脑的使用量正在大幅增加已是事实。以前只使用Windows系统的企业转向使用Mac系统的事例正在持续增加。并不是说企业对 Mac系统的安全性没有太多担忧。但是与Windows相比，这种担忧非常小，真的没有太多理由在意。 但是随着用户数量逐渐增加，黑客们对Mac系统也变得越来越感兴趣。这种情况下，开始让人们有了担心的理由。事实上，在企业环境下，用户不断增加的所有软件或硬件都会按照这样的顺序加强安全，即用户数量增加，黑客数量也跟着增加，安全也随之增加。”

安全公司趋势科技（Trend Micro）的副总裁约翰•克莱（Jon Clay）也表示：“最近安全行业对Mac系统的关注度越来越高。漏洞的研究是比较流行的领域，从最近传来的漏洞举报来看，Mac这个平台的人气正在非同寻常地提高。当安全研究人员开始像这样大量涌入时，就会发现更多的漏洞和错误，这也会成为攻击者关注的焦点。这是一种互相攀比‘内卷’的关系。”

世界上没有完美的操作系统，Mac系统也一样。与迄今为止出现的众多操作系统一样，Mac操作系统也出现了越来越多的漏洞。克莱强调说：“知道存在漏洞的不仅仅是黑客和安全专家，用户也应该知道这一点。随着这一消息的传播，用户的情绪应该会发生改变，放弃无条件信任Mac OS的习惯。但目前大多数Mac用户还是认为它是一个‘比Windows更安全的系统’。”

沃德尔解释说：“90年代后期和21世纪初期，Windows系统在世界各地都受到了各种病毒和蠕虫的攻击。这是因为某些Windows服务经常被暴露在网络上而产生的现象。远程访问和攻击并不是一件难事。虽然当时也有Mac电脑遭到攻击和感染病毒，但是因为其数量非常少，对黑客来说并不是特别有吸引力。再加上与Windows系统相比，Mac系统处于一个相对封闭的环境，因此连接网络的协议或服务的数量较少。”

沃德尔进一步解释说：“打个比方，如果Windows电脑是一座建在大城市简陋街区的房子，那么MacOS电脑是建在乡村僻静处的小屋。随着时间的推移，Windows为了在环境险恶的小区生存，开始采取一些安全措施，房子也渐渐武装起来。他们还设置了警卫，并开始向那些抓捕罪犯的人发放赏金。但是苹果本来就在僻静的村落里，所以没必要这样做。 因为周围没有多少人路过，所以一直都很平静。 但是突然之间，这个僻静的村落聚集了很多人，开始开发土地，周围环境就完全不一样了。尽管如此，Mac用户们仍然在家里认为‘我们的家一直很平静，将来也会如此’。”

就安全而言，相信自己平安无事并不是一种好的“心态”。 因为，如果随着这种信念增强，点击错误链接、打开错误文件的概率就会增加。 沃德尔强调：“现在Mac用户也应该养成把链接和文件心存警惕，确认后再打开的习惯。漏洞越来越多，打补丁也越来越频繁，这就是MAC环境的现实。国家支持的黑客们也在持续对Mac OS进行研究。”

二、针对Mac 系统的网络犯罪水平还处于起步阶段，但正在快速提升

沃德尔表示：“就在五年前，针对Mac 系统的恶意软件还非常简单。据说出现在 Windows和Linux环境中的各种病毒和高级恶意软件现在都被移植到了Mac系统上。现在已经出现了广告软件、犯罪工具、后门等，甚至还出现了朝鲜APT组织‘Lazarus’使用的植入工具，确实正变得越来越高级化，足以引起安全专家的注意。近期还出现了零日漏洞和攻击。Mac是一个刚刚开始研究的生态系统，所以我们预测今后会出现更多的零日漏洞。”

最近，在Mac OS“Big Sur 11.3”版本中发现了一个编号为CVE-2021-30657的漏洞。这是攻击者首先发现并利用的零日漏洞。守门员（Gatekeeper）、文件隔离（File Quarantine）、应用公证（Application Notarization）等都无法确定哪些文件是通过此漏洞植入的。攻击者们在多个Mac OS中植入名为Shlayer的恶意软件，并实施攻击。

在发现这个零日漏洞时，趋势科技还发现了另一款适用于Mac OS的恶意软件—— XCSSET。 它是针对以Mac OS 11和M1芯片组为基础的设备的恶意软件。目前安全行业面临的问题是，那些不缺钱、有足够动机发起攻击的人正在进入Mac OS 环境。因此，在Mac OS环境中出现的恶意软件很可能具有更为出众的功能。

当然，目前Windows生态系统中出现的恶意软件具有无法比拟的高级性、先进性。 沃德尔解释说：“这是因为恶意软件开发人员没有足够的时间来研究Mac环境。编写复杂的高级恶意软件需要对操作系统有深入的了解和经验，这也意味着作为防御者的我们还有一些时间，但最终攻击者们的猛烈攻击只是时间问题而已。”

但是，对于安全公司来说，也同样缺乏对操作系统的了解和经验。 Mac OS环境中的攻击很少见，因此没有理由开发该领域的安全知识。严重的问题是，攻击者们只要稍微提高用于Mac OS恶意软件的运用水平，现有的防御体系就会马上被瓦解。因此，沃德尔认为，留给安全人员的时间不多了。

三、苹果公司开始重视安全问题，并已经采取了一定的应对措施

首先，苹果给Mac OS引入新的安全框架。Mac OS的开发者苹果公司不可能不知道当前面临的安全危机。安全公司Malwarebytes的开发人员T. Student表示：“从Mac OS 的10.15版本开始，苹果开始认真对待安全问题。可以肯定的说，在10.15版本之前，苹果几乎没有提供任何安全功能。它只是一个获得可视性的工具而已。 但从10.15版本开始，苹果引入了一个名为‘网络扩展（Network Extensions）’的功能。这最初是iOS系统原有的功能，在此基础上又增加了‘端点安全（Endpoint Security）’这一项。这是一款设计得非常好的安全框架。”

其次，在此背景下，一款名为M1的苹果内部处理器应运而生。M1是一种快速且节能的处理器，但实际上是一种高度安全的芯片组。从MacOS 11版本开始，引进了新的强大的安全功能。但是这些功能大部分都是以M1为基础的。可以看出，苹果把安全问题视为一项严肃的课题。此外，苹果对第三方软件的政策也发生了大幅改变，这也体现了苹果态度的转变。

再次，苹果的代码签名框架和操作系统功能方面有了巨大的改进。沃德尔认为：“在Windows环境方面，漏洞和事故经常来自几十年前的‘遗留’元素。 这是因为微软暗地里不愿意废弃旧元素或用新元素来替换它们。但是不知从什么时候开始，苹果在这方面变得果断了。不必要的很快就会被废除并被新的取代，这不仅仅是出于安全原因。” 

沃德尔指出“这不仅仅是出于安全考虑”这一点非常重要。“苹果加强安全的原因纯粹是为了保护自己的产品安全。然而，苹果在提高安全性的同时，对其自身系统进行了相当大的控制。苹果希望对自己制造的系统上安装了什么、运行了什么进行严格管理。”

最后，对于苹果来说，最重要的是改善与第三方的关系。苹果因与第三方软件供应商和安全企业沟通不畅而臭名昭著。长期以来，举报漏洞所支付的费用也比较低。 难怪安全专家们在找到了有关苹果的漏洞后，会把它们出售给了其他公司，因为其他公司支付的费用更高。沃德尔表示：“说实话，目前喜欢苹果公司的开发人员和安全专家并不多。在这种情况下，很难指望安全行业的积极合作。”

T. Student在一定程度上也同意沃德尔的这种说法，他表示：“但是要改变现状并不容易，必须从内部进行彻底的文化变革。苹果不仅生态界如此，企业文化本身也很封闭，还有一种强烈忽视外部研究人员报告的倾向。苹果对于发现的漏洞补丁通常是秘密完成的，而很少对外公开披露。早期的不透明就无法反映近期安全行业的趋势。”

 图片来源于互联网

四、对于一个企业，若想大量使用Mac电脑，安全团队应该如何处置？

在这种情况下，如果公司运营人员大量引进Mac电脑，其安全团队可能会感到压力。正如趋势科技副总裁克莱所说，这是因为“虽然攻击者对Mac环境不熟悉，但安全人员也同样缺乏经验。安全人员使用过很多Windows安全工具，也知道它们是什么，对市场氛围也很熟悉。但对于陌生的事情，哪怕只是一点点陌生，也会极大削弱安全人员的自信心。”

对此，沃德尔强调：“首先，重要的是以相同的心态和态度来对待Mac系统和Windows系统。我们必须对Mac OS采用相同的安全策略，我们必须在培训中也这样做，即不点击可疑链接和不打开可疑文件。”

其次，最好设置端点安全代理。如果很难直接分析Mac端点，就应该从专门研究Mac，或者从像熟悉Windows一样熟悉Mac的公司那里购买，这样比较安全。 沃德尔表示：“虽然苹果也在大力增强自己的安全工具，但没有任何安全工具是完美的。 Windows自身的安全工具在刚出来的时候也很强大，但是最终攻击者总能找到破解方法。总有一天是要使用第三方工具的。最好先对进行此类研究的公司进行调查了解，获得并积累其产品的经验。”

最后，要时刻关注系统更新和补丁最新化工作。克莱解释称：“苹果与Android 或 Windows不同，更新是半强制性的。 这样做虽然有其便利之处，但也不能忽视更新。从公司角度出发，应该制定补丁管理方案，这与Windows补丁管理完全相同。这个不需要有深入的技术理解的情况下就可以完成。”

（资料来源：韩国安全新闻网站、维基百科等相关文章。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。如果相关作者认为摘选不妥，请联系我们删除。）