苹果的一项基本安全工具未能发挥其作用

一位安全研究人员展示了macOS内置的网络安全工具如何很容易被“有些复杂”的恶意软件绕过。在最近的DEFCON黑客大会上，PatrickWardle概述了一种绕过macOS后台任务管理机制工作并在目标端点上安装更多恶意软件时保持在视线之外的方法。

后台任务管理是自2023年10月起随macOS附带的内置工具。它监视已安装的程序和应用程序的持久性，这通常是恶意软件的明显迹象。如果它发现应用程序仍然存在-尽管被多次杀死-它会通知用户，然后用户可以扫描设备是否存在潜在问题。

Wardle找到了三种绕过该工具的方法。需要对设备具有root访问权限，这在一定程度上违背了整个目的(如果威胁参与者已经拥有root访问权限，他们可以进行各种更改)。但是，其中两个不需要root访问权限，可用于禁用通知。其中一种方法需要使用警报系统与内核通信方式中的错误。另一个利用用户使进程进

Wardle表示，他决定将自己的发现提交给DEFCON，而不是提交给Apple，因为在发现了一些缺陷后，当该工具首次推出时，他就已经联系了该公司。该公司修复了缺陷，但没有解决问题的根本原因。

“我们反复讨论，最终他们解决了这个问题，但这就像在飞机坠毁时在飞机上贴了一些胶带一样，”沃德尔说。“他们没有意识到该功能需要大量工作。”

苹果是否会解决这些问题还有待观察。截至发稿时，该公司尚未对调查结果做出回应。