337p人体粉嫩胞高清图片,97人妻精品一区二区三区在线 ,日本少妇自慰免费完整版,99精品国产福久久久久久,久久精品国产亚洲av热一区,国产aaaaaa一级毛片,国产99久久九九精品无码,久久精品国产亚洲AV成人公司
網(wǎng)易首頁 > 網(wǎng)易號 > 正文 申請入駐

蘋果剛補的漏洞,黑客三天就繞過了

0
分享至

「蘋果在macOS Tahoe 26.4里加了個終端粘貼警告,兩周后我就夸過這事。」Jamf Threat Labs的研究員在最新博客里寫道,「現(xiàn)在他們已經(jīng)開始繞過它了。」

安全防御和攻擊者之間的賽跑,這次只跑了14天。


ClickFix是什么:一個"騙你親手輸入"的套路

這不是傳統(tǒng)意義上的病毒家族,而是一種社會工程學(xué)的投遞技術(shù)。核心邏輯很簡單:誘導(dǎo)用戶自己把惡意代碼粘貼進終端(Terminal)并執(zhí)行。

為什么這招在2025年突然爆發(fā)?因為蘋果去年發(fā)布的macOS Sequoia堵死了另一條路。

Sequoia之前,用戶右鍵就能繞過Gatekeeper(蘋果的應(yīng)用簽名驗證機制)運行未簽名軟件。Sequoia之后,必須去「設(shè)置-隱私」里手動「審查安全信息」,步驟多了三四步。

假DMG安裝包的生意因此一落千丈。但ClickFix崛起了——它便宜、快,而且根本不需要簽名證書就能繞過Gatekeeper。

終端命令直接執(zhí)行,Gatekeeper根本看不見。

蘋果的補丁:終端粘貼時彈警告

macOS Tahoe 26.4的新機制是這樣的:檢測到用戶往終端粘貼可能危險的命令時,系統(tǒng)會彈出一個確認對話框,告訴你「這可能會執(zhí)行有害操作」。

設(shè)計上是個合理的折中。完全禁止粘貼不現(xiàn)實(開發(fā)者會造反),但加一層摩擦就能攔住大部分普通用戶。

對ClickFix來說,這幾乎是針對性打擊——畢竟它的整個攻擊鏈都依賴「騙用戶粘貼」。

但Jamf Threat Labs的最新發(fā)現(xiàn)證明,這個設(shè)計有個明顯的邊界:它只盯著終端(Terminal)。

繞過方案:不去終端,去腳本編輯器

新的ClickFix變種換了個入口。攻擊者搭建了一個偽裝成蘋果官方的頁面,標題叫「回收Mac磁盤空間」,里面有個醒目的「執(zhí)行」按鈕。

用戶點擊后,瀏覽器觸發(fā)一個applescript://協(xié)議的URL,直接打開腳本編輯器(Script Editor),里面已經(jīng)預(yù)填好了一段惡意腳本。再點一下運行,攻擊完成。

整個過程中,命令從未進入終端。Tahoe 26.4的粘貼警告根本沒有觸發(fā)的機會。

腳本編輯器在26.4上確實也有保護機制——運行腳本前會提示用戶。但攻擊者把提示文本偽裝成了系統(tǒng)維護的常規(guī)操作,普通用戶很難分辨。

為什么這個繞過這么快?

蘋果的防御策略有個結(jié)構(gòu)性問題:它是在「終端」這個應(yīng)用層面做檢測,而不是在「代碼執(zhí)行」這個行為層面做攔截。

這相當于在一條高速公路上設(shè)卡,但旁邊全是小路。

macOS里能執(zhí)行代碼的地方太多了:腳本編輯器、自動操作(Automator)、快捷指令(Shortcuts),甚至預(yù)覽(Preview)都能跑某些腳本。每個應(yīng)用都有自己的執(zhí)行上下文,逐個打補丁是打不完的。

更深層的問題是用戶習(xí)慣。蘋果生態(tài)長期標榜「開箱即用」「無需折騰」,導(dǎo)致大量Mac用戶對系統(tǒng)權(quán)限、代碼執(zhí)行沒有基本概念。看到一個彈窗就點「允許」,已經(jīng)成為肌肉記憶。

ClickFix的精髓就在這里:它不利用技術(shù)漏洞,利用的是認知漏洞。

攻擊者的成本優(yōu)勢

從商業(yè)角度看,ClickFix的流行還有個殘酷的現(xiàn)實因素——它太便宜了。

獲取蘋果開發(fā)者證書、給惡意軟件簽名、維護假DMG的分發(fā)渠道,這些都需要持續(xù)投入。而ClickFix只需要一個看起來像那么回事的網(wǎng)頁,一段社會工程學(xué)的文案,再加一個利用系統(tǒng)原生功能的腳本。

被Sequoia的Gatekeeper升級逼退的攻擊者,發(fā)現(xiàn)ClickFix的ROI(投資回報率)反而更高了。

Jamf檢測到的這個新變種,從代碼結(jié)構(gòu)看并非臨時起意。applescript://的利用方式、Script Editor的預(yù)填充邏輯、提示文本的偽裝話術(shù),都說明攻擊者早就準備好了Plan B。

蘋果在Tahoe 26.4的終端警告發(fā)布前,這個繞過方案可能已經(jīng)完成開發(fā)。

企業(yè)用戶的處境

對用Mac辦公的企業(yè)來說,這事有個尷尬的側(cè)面。

蘋果的企業(yè)管理工具(MDM)可以配置終端的多種限制,但Script Editor的權(quán)限管理相對松散。很多設(shè)計、媒體、開發(fā)團隊的工作流本身就依賴AppleScript自動化,一刀切禁用不現(xiàn)實。

Jamf作為蘋果生態(tài)最大的MDM和安全供應(yīng)商之一,這次披露自家發(fā)現(xiàn)的威脅,某種程度上也是在提醒客戶:原生工具的保護有邊界,需要疊加額外的終端檢測。

Mosyle(本文的贊助方,另一家蘋果統(tǒng)一管理平臺)主推的「自動化加固與合規(guī)」方案,本質(zhì)上也是類似的邏輯——在系統(tǒng)原生機制之外,再建一層行為監(jiān)控。

這成了蘋果企業(yè)市場的標準商業(yè)模式:蘋果提供基礎(chǔ)框架,第三方安全廠商填補縫隙。

蘋果的下一步會怎么走?

短期看,Script Editor很可能會成為下一個加彈窗的目標。但這只是打地鼠。

更徹底的方案是重構(gòu)代碼執(zhí)行的權(quán)限模型——比如任何腳本運行前都必須經(jīng)過公證(notarization),或者建立用戶行為的信譽評分系統(tǒng)。但這些都會觸及蘋果「簡單易用」的核心賣點。

一個可以參考的對比是iOS。iPhone上幾乎沒有類似ClickFix的攻擊,因為iOS從設(shè)計之初就禁止了任意代碼執(zhí)行:沒有終端、沒有腳本編輯器、側(cè)載(sideloading)直到最近才在歐盟監(jiān)管壓力下有限開放。

Mac的歷史包袱不同。它從Unix工作站演化而來,開發(fā)者群體是基本盤。蘋果不可能把Mac變成大號iPhone。

這就形成了一個結(jié)構(gòu)性張力:越開放,越難防社會工程學(xué);越封閉,越背離Mac的身份認同。

給普通用戶的建議

如果你不是開發(fā)者,但偶爾會按網(wǎng)上教程往終端里粘貼命令,現(xiàn)在需要更新認知了。

第一,任何讓你「復(fù)制這段代碼到終端」的網(wǎng)頁,無論看起來多像官方,都先停三秒。真正的蘋果系統(tǒng)維護不需要你手動跑腳本。

第二,如果某個操作觸發(fā)了腳本編輯器(Script Editor)或自動操作(Automator),而你并不清楚自己在做什么,直接關(guān)閉窗口。

第三,檢查你的Mac是否開啟了「鎖定模式」(Lockdown Mode)。這是蘋果在2022年推出的極端防護選項,會禁用大量腳本和瀏覽器功能,適合高風險人群。

數(shù)據(jù)收束

ClickFix在2025年已成為Mac平臺最主要的惡意軟件投遞渠道。蘋果在Tahoe 26.4加入終端粘貼警告后,攻擊者在14天內(nèi)完成了向腳本編輯器的遷移。Jamf Threat Labs目前追蹤到的活躍ClickFix變種超過20個,平均每個變種的生命周期約6周——剛好是蘋果安全更新推送的周期。

特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相關(guān)推薦
熱點推薦
青島市委常委、副市長王波被查

青島市委常委、副市長王波被查

農(nóng)民日報
2026-04-20 14:52:00
4月19日俄烏:澤連斯基已經(jīng)放棄美國了

4月19日俄烏:澤連斯基已經(jīng)放棄美國了

山河路口
2026-04-19 17:27:16
鎮(zhèn)店之寶不再保密!莫氏雞煲創(chuàng)始人累到想休息,公開全部配方

鎮(zhèn)店之寶不再保密!莫氏雞煲創(chuàng)始人累到想休息,公開全部配方

大魚簡科
2026-04-15 19:49:23
越南百億高鐵訂單給德國,來華體驗12小時高鐵,背后算計太明顯

越南百億高鐵訂單給德國,來華體驗12小時高鐵,背后算計太明顯

云舟史策
2026-04-20 07:21:35
為什么毛主席不選蘇東坡、辛棄疾,偏偏推崇這個元代詩人的懷古詞

為什么毛主席不選蘇東坡、辛棄疾,偏偏推崇這個元代詩人的懷古詞

芳芳歷史燴
2026-04-18 19:18:05
印度油輪霍爾木茲海峽遭炮擊,船員喊話錄音:你們批準我們通行,卻又向我們開火

印度油輪霍爾木茲海峽遭炮擊,船員喊話錄音:你們批準我們通行,卻又向我們開火

紅星新聞
2026-04-19 17:03:18
31歲女子找不到工作,每天假裝上班:其實她是躲到山上發(fā)呆

31歲女子找不到工作,每天假裝上班:其實她是躲到山上發(fā)呆

閱微札記
2026-04-19 11:30:46
48歲田蕊妮癌癥復(fù)發(fā)!停工治療自曝丈夫壓力更大,網(wǎng)友看不下去了

48歲田蕊妮癌癥復(fù)發(fā)!停工治療自曝丈夫壓力更大,網(wǎng)友看不下去了

可樂談情感
2026-04-20 10:51:52
新加坡前總理大膽預(yù)言:中國已經(jīng)“老”了,將來經(jīng)濟會被印度超越

新加坡前總理大膽預(yù)言:中國已經(jīng)“老”了,將來經(jīng)濟會被印度超越

混沌錄
2026-04-19 13:44:13
蘿莉島大雷出現(xiàn)!比想象中炸裂,牽扯多國總統(tǒng),難怪愛潑斯坦必死

蘿莉島大雷出現(xiàn)!比想象中炸裂,牽扯多國總統(tǒng),難怪愛潑斯坦必死

離離言幾許
2026-02-02 21:16:35
反腐再出新規(guī)!5月1日起嚴糾違規(guī)“人情往來” ,筑牢腐敗防線!

反腐再出新規(guī)!5月1日起嚴糾違規(guī)“人情往來” ,筑牢腐敗防線!

細說職場
2026-04-19 16:04:52
人心惶惶!兩位經(jīng)理被裁拿到23萬、13萬補償,重慶網(wǎng)友發(fā)帖引熱議

人心惶惶!兩位經(jīng)理被裁拿到23萬、13萬補償,重慶網(wǎng)友發(fā)帖引熱議

火山詩話
2026-04-20 05:59:58
8.22億鎖死未來,雷霆衛(wèi)冕之路容錯率幾乎為零

8.22億鎖死未來,雷霆衛(wèi)冕之路容錯率幾乎為零

茅塞盾開本尊
2026-04-13 13:26:14
伊朗萬噸巨輪硬闖封鎖線,白宮氣急敗壞,竟公然把中國拖下水

伊朗萬噸巨輪硬闖封鎖線,白宮氣急敗壞,竟公然把中國拖下水

聽風喃
2026-04-20 14:16:17
35分慘敗!太陽創(chuàng)隊史恥辱,格林17分斷崖掉線,硬剛裁判討公道

35分慘敗!太陽創(chuàng)隊史恥辱,格林17分斷崖掉線,硬剛裁判討公道

籃球看比賽
2026-04-20 10:49:19
狂撈149億!地頭蛇搖身變A股百億大佬,黑白通吃為何最終夢碎?

狂撈149億!地頭蛇搖身變A股百億大佬,黑白通吃為何最終夢碎?

一號位故事
2026-04-20 11:57:00
湖人對陣火箭G2賽前迎來利好消息:東契奇、里夫斯復(fù)出時間表出爐

湖人對陣火箭G2賽前迎來利好消息:東契奇、里夫斯復(fù)出時間表出爐

野渡舟山人
2026-04-20 06:30:25
又是0分,罰球都2中0!這水平拿1800萬?球迷:你是資本家的噩夢

又是0分,罰球都2中0!這水平拿1800萬?球迷:你是資本家的噩夢

弄月公子
2026-04-20 08:54:35
女子吐槽“老公養(yǎng)的盆栽”,太丑了,網(wǎng)友:不懂,別亂說話

女子吐槽“老公養(yǎng)的盆栽”,太丑了,網(wǎng)友:不懂,別亂說話

觀察鑒娛
2026-04-19 16:03:01
溫州這位老總!年薪公布

溫州這位老總!年薪公布

住溫網(wǎng)
2026-04-20 09:53:53
2026-04-20 15:39:00
閃存獵手
閃存獵手
全網(wǎng)蹲好價的野生捕手,算力與羊毛都不可辜負。
1537文章數(shù) 13關(guān)注度
往期回顧 全部

科技要聞

拋棄OpenAI,Anthropic為何成中國AI新偶像

頭條要聞

拼多多等被罰近36億:有人吞證據(jù)抗法 執(zhí)法人員骨折

頭條要聞

拼多多等被罰近36億:有人吞證據(jù)抗法 執(zhí)法人員骨折

體育要聞

阿森納已拼盡全力,但你早干嘛去了...

娛樂要聞

鹿晗生日上熱搜,被關(guān)曉彤撕下體面

財經(jīng)要聞

月之暗面IPO迷局

汽車要聞

把天門山搬進廠?開仰望U8沖上45度坡的那刻 我腿軟了

態(tài)度原創(chuàng)

房產(chǎn)
時尚
旅游
手機
軍事航空

房產(chǎn)要聞

重磅!海口北站來了!多項信息曝光,過海時間將大幅縮短!

今年最流行的衣服竟然是它?高級又氣質(zhì)!

旅游要聞

山水科技交融掀起春日文旅熱潮——三月三廣西河池金城江龍江第一灣舉辦國潮活動

手機要聞

華為Pura 90 Pro Max長焦三項業(yè)界首發(fā)!防抖CIPA 7.0業(yè)界最高水準

軍事要聞

特朗普:美艦向伊朗貨船開火炸出個洞

無障礙瀏覽 進入關(guān)懷版