MacOS比Windows更安全？

?

截止2019Q1，Mac终端的市场占有率是6.82%，Windows却高达93.2%。两个数据作比对，不少人会觉得Mac终端的市场份额还是相对小众的，但实际情况却并非如此。

“在某些行业公司里，如互联网公司、设计公司Mac所占比例远高于此，且比例呈现不断攀升的趋势。”

王朝飞称，在腾讯Mac设备已经占据全部在用机型的25%，同样的情况也存在于其他行业的公司。有时候，看似小众的Mac产品安全性往往对于企业用户来说至关重要。

Mac系统本身的安全性做得如何呢?自面世至今，MacOS引入了很多的安全机制，其中主流版本10.14主要有以下四大安全机制：

1、Gatekeeper——对互联网下载应用程序进行签名校验。

2、Xprotect——对应用程序进行静态特征检测，包括字符串，哈希，压入，规则匹配等，可理解成是MacOS自己集成的一个小的杀软。

3、SIP——又叫Rootless，主要是对系统运行进程、系统关键文件以及内核扩展加载进行保护。

4、Sandbox——对应用程序所能访问的软件资源、硬件资源和网络资源等做限制。

上述四大安全机制可以保证应用程序从下载落地到终端执行的安全。

然而，这并不能100%保证MacOS的安全。自MacOS面世至今，这四大安全机制已经出现过无数漏洞并支持黑客进行PAAS或者DOS攻击。

据统计，从2016到2017年，针对Mac平台的恶意程序增长了270%。仅在2018年一年，增长速度达到165%。截至目前，MacOS的恶意程序量级已经达到10万级。其中，具有针对MacOS入侵能力的APT组织23个，木马家族62个。

“可以说，MacOS上的高级持续性威胁其实是一直存在的。”

MacOS攻击演示

在模拟攻击案例中，王朝飞采用Remote Custom URL Scheme的攻击手法，从黑客角度分享了对MacOS终端展开攻击的全过程。

Custom URL Scheme可以被类比成Windows中不同的文件拓展对应不同的默认关联程序。举个例子，假如在浏览器中输入http：//baidu.com，那么浏览器就会去解析这个域名。 如果一个Mac上的App声称它支持hXXp这种URL scheme格式，那么如果在浏览器中输入hXXps.baidu.com那么系统就会自动去关联这个App来解析URL scheme。

顾名思义，Remote Custom URL Scheme就是一种远程利用的方式。

攻击的第一步，通常黑客会向目标终端发送一份包含恶意链接的钓鱼邮件。终端收到钓鱼邮件之后，将引导用户用Safari浏览器打开包含恶意链接的邮件，并自动访问到黑客所控制的恶意站点。

此时，Safari浏览器会自动下载恶意站点中所存储的恶意压缩包并自动解压，从而导致压缩包里面的恶意App落地。

同时，系统会自动将App所支持的URL scheme进行注册，以此将URL scheme与其关联起来并自动引导Safari访问注册过的恶意URL scheme关联到恶意App。

其攻击过程分为三个关键点：

1、Safari浏览器——这是绝大多数Mac终端默认的浏览器，其具备“下载后打开‘安全的’文件”设置选项，一旦该选项开启浏览器则认为恶意压缩包是安全的从而导致解压落地。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!