“内”忧“外”患,3 万台 Mac 有危险!
去年苹果发布的自研 M1 芯片可谓是赚足了眼球,搭载该芯片的 Mac 电脑也成为了许多人争相购买的产品之一。不过彼时刚刚诞生的 M1 Mac 似乎还不够完善,故障频出:蓝牙故障、妙控板断连、突然死机重启或黑屏......
最近 M1 Mac 的处境更可以说是“内”忧“外”患,不仅自身的“粉红色方块”还没去除,接踵而至的恶意软件又让 Mac 陷入危险,尤其近日名为“Silver Sparrow”的恶意软件已感染全球 153 个地区、近 3 万台 Mac,连M1 Mac 都无法幸免,这件事更是引起了安全界的重视,究竟是什么情况呢?
内忧之“粉红色方块”篇
据外媒 MacRumors 报道,苹果近日承认了部分 M1 Mac Mini 存在连接显示器后会出现“粉红色正方形或像素点”的问题,而该问题自去年 11 月份发布 M1 Mac mini 以来,就有不少用户在 Apple 支持社区及 Reddit 等论坛反映。
图片来自 Twitter 用户@FatihVidyograf
该内部备忘录发布于 2 月 19 日,即 macOS Big Sur 11.2.1 发布一周后,很明显,这个版本并没有解决“粉红色方块”的问题,或许会在自 2 月 2 日一直处于 beta 测试的 macOS Big Sur 11.3 中解决。
但这只是乐观估计,毕竟目前看来产生该问题的确切原因尚不清楚,备忘录中苹果也没有给出具体的修复时间。不过苹果提供了故障排除步骤:
让 Mac Mini 休眠/待机
等待两分钟,然后唤醒 Mac Mini
关闭 Mac Mini 连接的显示器电源,再重新打开
在 System Preferences > Displays 中,调整显示器的分辨率
据受影响的用户反馈来看,“粉红色方块”的问题似乎只可能出现在通过 HDMI 连接的显示器上,使用 USB-C 或 Thunderbolt 连接的显示器目前没有这个困扰。
外患之“GoSearch22”篇
聊完最近的内忧,我们来看近日在 M1 Mac 上发现的两个恶意软件,首先便是上周 Mac 安全研究员 Patrick Wardle 在调查 Safari 广告软件扩展时,发现了可能是第一个针对 M1 编写的恶意软件 GoSearch22,并且它还是恶名昭著的 Pirrit 广告软件的家族成员。
Pirrit 是一个自 2014 年开始活跃的恶意广告软件,以不断变化以逃避检测而闻名,始于 Windows,但研究人员 Amit Serper 在 2016 年首次在 macOS 上发现了 Pirrit 的存在,随后活跃的 Pirrit 成为了 Mac 恶意广告软件中的“知名角色”。
此次发现的 GoSearch22 也沿袭了 Pirrit 的特点,伪装成合法的 Safari 浏览器扩展,收集用户数据并给用户投放非法广告和弹窗,并且非常善于躲避检测。明明 X86 版 Mac 的杀毒软件可以轻易识别出 Gosearch22 这个恶意软件,但它却能逃过 M1 Mac 安全系统的法眼,而这就得提起苹果在发布 M1 芯片宣布架构转换时,同步推出的 Rosetta2 转译器。
Rosetta2 转译器是将原本不能直接在 M1 Mac 上运行的软件进行转译后,便能应用在 M1 Mac 上的工具。但这隐藏了一个 BUG——Rosetta2 并不会检测它转译的软件是否安全,而经过转译后的软件会轻易逃过 M1 Mac 杀毒软件的检测。Gosearch22 也正是利用了这一点,以 Rosetta2 转译的形式运行在 M1 Mac 上。
Patrick Wardle 对此表示惊讶:“这表明恶意软件作者为了跟上苹果最新的软硬件发展,也在进化和适应。”Wardle 还发现,Gosearch22 这个恶意软件在去年 11 月 23 日与苹果开发者 ID (一个允许苹果追踪所有 Mac 和 iOS 开发者的付费账户)签约。
对于以上发现,苹果都不予置评。不过目前,苹果已经撤销了 GoSearch22 的开发者证书,该恶意软件已无法运行。
外患之“Silver Sparrow”篇
一波刚平一波又起。好不容易 GoSearch22 安分了,第二款带有针对 M1 芯片的恶意软件 Silver Sparrow 又横空出世了,这条新闻还登上了今日 Techmeme 首页。
近日,据外媒 ArsTechnica 报道,在重新编译 macOS 广告软件以针对苹果的新内部处理器之后,安全机构 Malwarebytes 和 Red
Canary 发现全球近 3 万台 Mac 电脑被植入了恶意软件 Silver
Sparrow,目前被感染的 Mac 主要集中在美国、加拿大、法国和英国。该恶意软件之前从未被发现,并且有两个版本的二进制文件:一种是针对 Intel x86_64 芯片的 Mac,一种是针对苹果自研 M1 芯片的 Mac。然而,x86_64 二进制文件在执行时显示单词“ Hello World!”,而 M1 二进制文件显示为“You did it!” ,研究人员因而怀疑这些文件是占位符。
不过目前 Silver Sparrow 仍处于“休眠”状态,尚未对计算机及用户产生任何影响。受感染的 Mac 电脑每隔一小时便会检查控制服务器,看恶意软件是否需要运行新命令或执行二进制文件。但目前为止研究人员并没有发现有效载荷,即 Silver Sparrow 的最终目标还未可知。正如研究人员所说:“这个恶意软件的最终目标是一个谜。”
“安静”的 Silver
Sparrow 并不表示它就没有危险,相反,它的杀伤力不容小觑,可能一旦满足未知的条件,恶意软件就会立即采取行动。据了解,Silver
Sparrow 是基于 JavaScript 进行开发的,因为它使用 macOS Installer JavaScript API 来执行命令,这是一种较为罕见的方式。此外,据 Red
Canary 称,这款恶意软件传染性很高,可以提供“高有效负载率”,并且还具有“自删”功能,可能在获取到想要的东西后,就自行消除,以隐藏入侵的痕迹。
M1 Mac 才问世三个多月,但向来以安全性著称的苹果最近却被频频发现恶意软件的存在,Patrick Wardle 对此不禁说道:“尽管苹果尽了最大努力,macOS 恶意软件还是变得越来越普遍和司空见惯。”而我们能如何最大程度避免恶意软件呢?大概就是及时更新系统及软件,确保防火墙和杀毒软件的安装,以及最重要的一点——不下载未知来源的软件。
对 M1 Mac 最近的这些问题,你有什么看法吗?
参考链接:
https://www.macrumors.com/2021/02/21/pink-squares-external-display-m1-mac-mini/
https://threatpost.com/macos-malware-apple-m1-processor/164075/
https://threatpost.com/silver-sparrow-malware-30k-macs/164121/