Mac用户注意了：据报道，广告软件的创建者利用了macOS Gatekeeper（也称为“Cavallarin”）最近披露的漏洞。在这种情况下，我们会想起保护你的Mac免受此类问题影响的最佳建议：当有疑问时，从Mac应用商店或可信的第三方来源安装应用程序，而不仅仅是在互联网上找到的任何旧东西。

卡瓦拉林的作用原理

macOS网守检查所有的应用程序安装，确认它们是苹果认证的应用程序。如果一个应用程序还没有收到苹果公司的“全部清除”命令，网守会停止安装并通知用户。你仍然可以安装你的应用程序，你只需明确确认安装换句话说，一个“你真的想这样做吗？”检查苹果的一部分。

安全研究人员Filippo Cavallarin（因此该漏洞名称中的“Cavallarin”部分）发现，Gatekeeper的“可信”应用程序标准有一个严重缺陷，允许不可信的应用程序欺骗Gatekeeper，使其获得免费***。由于Gatekeeper将外部驱动器和网络共享的安装列为白名单，因此攻击的结果如下：

“攻击者创建了一个zip文件，其中包含指向其控制的自动装载端点的符号链接（例如文档-&gt/net/evil.com/Documents）并发送给受害者。

受害者下载恶意文件，提取并跟踪符号链接。

现在受害者所在的位置由攻击者控制，但受网守信任，因此任何攻击者控制的可执行文件都可以在没有任何警告的情况下运行。WayFinder的设计（例如hide.app extensi***，hide full path from titlebar）使这项技术非常有效且难以发现。”

卡瓦拉林几周前发现了旁路，并给苹果90天时间来修复。苹果没有回应，因此卡瓦拉林在5月24日披露了这一漏洞。即使在公开披露之后，苹果仍然没有解决这个问题，现在Intego的恶意软件研究团队已经看到了网守漏洞在网上出现的初步迹象。

Intego跟踪了7月6日上传到Virustotal的四个恶意软件样本，每个磁盘映像都指向单个链接服务器上的同一个潜在恶意应用程序。后来确定这些是早期的恶意软件测试，现在被称为“OSX/Linker”，Intego团队怀疑这些测试是由OSX/Surfbuyer恶意软件背后的同一个开发人员执行的。

虽然“测试”在这一点上听起来并不可怕，但Intego安全分析师Joshua Long指出，该漏洞的本质为更糟糕的情况敞开了大门：

…因为磁盘映像中的.app是动态链接的，所以它可以在服务器端随时更改，而不需要修改磁盘映像。因此，以后可能会使用相同的磁盘映像（或从未上载到VirusTotal的较新版本）来分发在受害者的Mac上实际执行恶意代码的应用程序。

如何防止mac上潜在的cavallarin攻击

此时，最容易的预防方法就是坚持苹果认证的应用程序，首先是从应用商店，并对你从你不认识的来源下载的应用程序有健康的怀疑。目前还不清楚苹果需要多长时间才能修补Mac系统中的这个漏洞。

Intego的高级VirusBarrier X9和Flexivity防病毒程序已将操作系统/链接器威胁添加到其注册表中，您还可以使用免费的VirusBarrier扫描程序检查您的系统是否存在与该漏洞相关的任何已知威胁。这些将在检测到的威胁下显示为“OSX/Linker”。Intego要求被感染的用户通过他们的在线提交表单与他们联系。

您可以为您的系统调查其他预防方法，但风险更大，因为它们需要禁用和编辑关键的macOS安全措施。你可以参考Intego关于Cavallarin漏洞的博客来获得更多信息，但是我们建议你只需要练习更安全的在线习惯。如果你对你要在你的机器上安装什么有任何疑问，在你继续之前给它一个快速的病毒扫描。