セキュリティ研究者らは、Adobe Flash インストーラーを装い、Apple によって認証されたコードを含むマルウェアを発見したと発表しており、このマルウェアは Mac 上で実行される可能性があるという。

認証済み OSX.Shlayer

macOS Catalinaで導入されたAppleの認証プロセスは、開発者が作成したソフトウェアをプラットフォーム上で配布する前にスキャンして承認するものです。Macソフトウェアをリリースしたいすべての開発者は、Appleに申請書を提出する必要があります。Appleが承認すると、ソフトウェアは認証されます。Macユーザーが認証されていないソフトウェアを開こうとすると、macOSはそれをブロックし、ユーザーに警告を表示します。

研究者のピーター・ダンティーニ氏とパトリック・ウォードル氏は、2019年にMacにとって最も一般的な脅威と言われていたOSX.Shlayerマルウェアが使用するコードをAppleが承認したことを確認した。

金曜日、ダンティーニ氏はHomebrewソフトウェアのウェブサイトでアクティブなアドウェアキャンペーンが行われていることに気付きました。ユーザーがHomebrew.shにアクセスすると、Adobe Flash Playerが古いというメッセージとインストーラーのダウンロードリンクが表示されたページにリダイレクトされます。このようなマルウェアは通常、認証されていないため実行できませんが、このインストーラーにはDarien Watkinsという開発者IDを持つ認証済みのコードが含まれていました。

OSX.Shlayerは一度インストールされると、他の種類のmacOSアドウェアを永続的にインストールします。研究者らはAppleに通知し、Appleは8月28日（金）に速やかに認証証明書を取り消しました。しかし、日曜日現在、アドウェアキャンペーンは継続しており、新しい開発者ID（Aimee Shorter）で再度認証されています。