在 Mac 上安装应用程序通常被认为比在 Windows 上安装应用程序更安全,开源软件通常是良性的,但这两种假设都有例外,可能会对您的隐私和安全造成难以估量的损害。
趋势科技最近的一项发现为这种风险提供了一个惊人的例子。一款旨在帮助 Mac 用户进行 iPhone 和 iPad 应用程序签名的开源应用程序已被修改,其中包含一个可窃取您的 Apple Keychain 数据的恶意黑客程序。原始应用程序称为 ResignTool,可在流行的开源网站 GitHub 上免费获得。该应用程序已有 6 年历史,代码和可立即运行的应用程序均可从 GitHub 下载。那不是问题所在。
问题出在访问代码、进行更改和上传到其他地方是多么容易,就好像它是同一个应用程序一样。黑客只需做很少的工作就可以在真正善意的应用程序的幌子下传播他们的恶意软件。
如果您错误地下载了开源应用程序的恶意软件版本,您可能会将密钥交给您的 Apple 王国,因为您的 Mac 会自动同步您存储在 iPhone和 iPad 钥匙串中的密码。每个应用程序和每个网站登录名都可能被盗,包括金融应用程序和银行网站的密码。
有一些常识性的解决方案可以缓解这些担忧。至关重要的应用程序和网站应该启用双因素身份验证。如果可能,请从 Mac App Store 获取经过安全测试的应用程序。如果您从网站下载,请确保您知道并信任来源。您可能还想了解您的 Mac 是否可以从防病毒保护中受益。