תחקיר חדש חושף כיצד האקרים מצליחים להערים על אפל ולגרום למערכת ה-Gatekeeper (הפעלת תוכנה מהימנת) לסמוך על אפליקציות זדוניות.
האם המודל שנועד להגן עלינו הפך לנקודת התורפה החדשה?
במשך שנים, אפל הציגה את מנגנון ה-Notarization (אימות) כפתרון האולטימטיבי לאבטחת מק. התהליך מחייב כל מפתח להעלות את האפליקציה שלו לשרתי אפל לסריקה לפני הפצתה. אם האפליקציה נקייה, היא מקבלת "חותמת כשרות" דיגיטלית שמאפשרת לה להיפתח ללא אזהרות. אך בסוף 2025, המציאות השתנתה.
מה קרה לאחרונה?
לפי מחקר של Jamf Threat Labs, זוהתה גרסה חדשה של נוזקה ממשפחת ה-MacSync Stealer שהופצה בתוך אפליקציה שהייתה חתומה ומאומתת (Notarized) באופן מלא על ידי אפל. המשמעות, מערכת ה-Gatekeeper לא מצאה שום סיבה לחסום את ההפעלה שלה, והמשתמש קיבל תחושת ביטחון כוזבת.
איך התוקפים עושים את זה?
מומחי אבטחה מצביעים על שלוש שיטות עיקריות שבהן נוזקות "מתגנבות" דרך האימות של אפל:
- גניבת תעודות מפתחים: האקרים פורצים לחשבונות של מפתחים לגיטימיים ומשתמשים בתעודות שלהם כדי לחתום על קוד זדוני.
- רכישת תעודות בשוק השחור: קיימת תעשייה שלמה של מכירת חשבונות מפתח מאומתים ב-Dark Web.
- ערפול קוד (Obfuscation): התוקפים מצליחים להחביא את הפעילות הזדונית כך שסריקות ה-AI האוטומטיות של אפל לא מזהות אותה בזמן אמת, ומאשרות את הקובץ כ"בטוח".
אמון אינו מספיק
הטור מדגיש כי המודל של אפל מבוסס על ההנחה שחתימה דיגיטלית מעידה על כוונות טובות, אך כיום זו הנחה מסוכנת.
הנוזקות החדשות (כמו MacSync) מתוכננות לגנוב סיסמאות, קוקיז (Cookies) וארנקי קריפטו בתוך דקות מרגע ההפעלה.
מה כדאי לעשות?
- לא להסתמך רק על הודעת ה-Gatekeeper.
- להימנע מהורדת תוכנות מאתרים לא מוכרים, גם אם הן "חתומות".
- לשקול שימוש בכלי אבטחה נוספים (EDR) המנטרים את התנהגות האפליקציה לאחר שהיא רצה, ולא רק לפני כן.
