2018 年, Mac占 所有活跃个人电脑的10%。从那以后,人气飙升。2021 年第一季度,Mac 与 2020 年第一季度相比增长了115%,使苹果在全球 PC 市场份额中排名第四。可以肯定地说,Mac 是相当一部分人喜爱和信任的设备——但从安全角度来看,它们的安全性如何?
许多用户历来认为 Mac 是黑客无法触及的,这使 Apple 设备享有比其他 PC 更“安全”的声誉。然而,最近的攻击表明情况并非如此。据报道,最近发现一种名为 XCSSET 的新恶意软件利用了一个漏洞,使其能够访问 macOS 的部分功能,包括麦克风、网络摄像头和屏幕录像机——所有这些都未经用户同意。
让我们更深入地了解 XCSSET 的工作原理。
研究人员于 2020 年首次发现 XCSSET。该恶意软件针对 Apple 开发人员及其用于构建和编码应用程序的项目。通过针对应用程序开发项目,黑客在应用程序的早期渗透到应用程序中,导致开发人员在不知不觉中将恶意软件分发给他们的用户。
一旦恶意软件在用户的设备上运行,它就会使用多次零日攻击来改变机器并监视用户。这些攻击允许黑客:
虽然 macOS 应该在允许任何应用程序录制屏幕、访问麦克风或网络摄像头或打开用户的存储之前征得用户的许可,但 XCSSET 可以绕过所有这些权限。这允许恶意软件潜入雷达,并将恶意代码注入通常要求屏幕共享权限的合法应用程序,例如 Zoom、WhatsApp 和 Slack。通过在这些合法应用程序中伪装自己,XCSSET 在计算机上继承了它们的权限,并避免被 macOS 的内置安全防御标记。因此,该漏洞可能允许黑客访问受害者的麦克风、网络摄像头,或捕获他们的登录凭据或信用卡信息的击键。
目前尚不清楚有多少设备受到 XCSSET 的影响。无论如何,消费者必须明白 Mac 的历史安全声誉并不能取代用户采取在线安全预防措施的需要。以下提示可以帮助 macOS 用户保护自己免受恶意软件的侵害:
软件开发人员一直致力于识别和解决安全问题。经常更新设备的操作系统、浏览器和应用程序是获得最新修复和安全保护的最简单方法。例如,Apple 确认它解决了 XCSSET 在 macOS 11.4 中利用的漏洞,该漏洞于2021年 5 月 24日发布。
黑客经常使用网络钓鱼电子邮件或短信作为传播恶意软件的手段,通过在链接和附件中掩饰他们的恶意代码。不要打开可疑或不相关的消息,因为这可能会导致恶意软件感染。如果消息声称来自企业或您认识的人,请直接联系消息来源,而不是回复消息。这将允许您确认发件人的合法性。
使用解决方案 ,它可以帮助保护设备免受恶意软件、网络钓鱼攻击和其他威胁的侵害。它还包括一些帮助识别恶意网站的工具。
无论您是Team PC 还是 Team Mac,重要的是要意识到这两个平台都容易受到不断变化的网络威胁的影响。对流行的威胁和软件错误进行研究可以让您更好地保护您的在线安全。
顶 政企单位最易忽视的5大网络安全漏...
政企单位最易忽视的5大网络安全漏洞——来自“安全邦”安全服务专家的实战洞察 “在近期为中国农业科学院生物技术研究所开展的网络安全培训中,我们发现90%的漏洞源于
顶 航天守护,网安同行 —— 中国航...
【筑梦航天,安全先行】在这个科技日新月异的时代,网络安全不仅是数字世界的防线,更是国家航天事业的坚实后盾。中国航天科工集团第二研究院,作为我国航天事业的
助力昌平区网络安全建设专题培训圆...
当勒索病毒突然爆发导致系统锁死,当敏感数据意外泄露引发合规风险,当核心业务中断影响正常运转,一份科学完善的网络安全应急预案与扎实的应急演练能力,就是守护单位平稳
安全邦受邀开展北京青年宫网络安全...
安全邦受邀开展北京青年宫网络安全培训共筑信息安全防线基于对网络安全防护工作的重视及实际办公场景的安全需求,北京青年宫主动向安全邦发出诚挚邀请,希望借助安全邦在网
2025网络安全事件盘点:当数字...
一、开篇:藏在手机里的 “身边陷阱”“扫码领社保补贴” 的弹窗突然弹出,“本地发生重大事故” 的视频刷满朋友圈,“AI 预测彩票中奖” 的广告精准推送 ——20
网络安全法迎重要更新!2026 ...
在数字时代,网络安全早已不是陌生的话题,小到个人手机里的信息保护,大到关键设施的网络防护,都离不开法律的保驾护航。近期,《中华人民共和国网络安全法》完成重要修改
2025等保新规落地:企业如何从...
近日,网络安全领域迎来重要政策更新 —— 继年初相关指导文件发布后,最新的网络安全等级保护细化规则正式落地,标志着我国网络安全防护从 “形式备案” 全面转向 “
网络安全领域制度优化解读:企业合...
一、制度优化背景:回应数字安全新需求2017年《网络安全法》实施以来,我国数字空间环境持续演变,数据泄露、新型网络风险等问题日益突出,原有制度条款已难以满足数字
组件安全合规实践指南:构建企业数...
在数字化转型加速推进的背景下,企业系统构建高度依赖第三方组件,其安全合规已成为保障业务连续性的关键基石。本文基于行业最佳实践,从管理框架、技术落地、全生命周期管
政策强约束下的组件安全:2025...
2024 年底至 2025 年初,网络安全领域政策持续加码,其中《网络安全审查办法》的深化实施与配套解读(2024 年 12 月商务部修订版)最受关注。这份覆盖
2018 年, Mac占 所有活跃个人电脑的10%。从那以后,人气飙升。2021 年第一季度,Mac 与 2020 年第一季度相比增长了115%,使苹果在全球 PC 市场份额中排名第四。可以肯定地说,Mac 是相当一部分人喜爱和信任的设备——但从安全角度来看,它们的安全性如何?
许多用户历来认为 Mac 是黑客无法触及的,这使 Apple 设备享有比其他 PC 更“安全”的声誉。然而,最近的攻击表明情况并非如此。据报道,最近发现一种名为 XCSSET 的新恶意软件利用了一个漏洞,使其能够访问 macOS 的部分功能,包括麦克风、网络摄像头和屏幕录像机——所有这些都未经用户同意。
让我们更深入地了解 XCSSET 的工作原理。
研究人员于 2020 年首次发现 XCSSET。该恶意软件针对 Apple 开发人员及其用于构建和编码应用程序的项目。通过针对应用程序开发项目,黑客在应用程序的早期渗透到应用程序中,导致开发人员在不知不觉中将恶意软件分发给他们的用户。
一旦恶意软件在用户的设备上运行,它就会使用多次零日攻击来改变机器并监视用户。这些攻击允许黑客:
虽然 macOS 应该在允许任何应用程序录制屏幕、访问麦克风或网络摄像头或打开用户的存储之前征得用户的许可,但 XCSSET 可以绕过所有这些权限。这允许恶意软件潜入雷达,并将恶意代码注入通常要求屏幕共享权限的合法应用程序,例如 Zoom、WhatsApp 和 Slack。通过在这些合法应用程序中伪装自己,XCSSET 在计算机上继承了它们的权限,并避免被 macOS 的内置安全防御标记。因此,该漏洞可能允许黑客访问受害者的麦克风、网络摄像头,或捕获他们的登录凭据或信用卡信息的击键。
目前尚不清楚有多少设备受到 XCSSET 的影响。无论如何,消费者必须明白 Mac 的历史安全声誉并不能取代用户采取在线安全预防措施的需要。以下提示可以帮助 macOS 用户保护自己免受恶意软件的侵害:
软件开发人员一直致力于识别和解决安全问题。经常更新设备的操作系统、浏览器和应用程序是获得最新修复和安全保护的最简单方法。例如,Apple 确认它解决了 XCSSET 在 macOS 11.4 中利用的漏洞,该漏洞于2021年 5 月 24日发布。
黑客经常使用网络钓鱼电子邮件或短信作为传播恶意软件的手段,通过在链接和附件中掩饰他们的恶意代码。不要打开可疑或不相关的消息,因为这可能会导致恶意软件感染。如果消息声称来自企业或您认识的人,请直接联系消息来源,而不是回复消息。这将允许您确认发件人的合法性。
使用解决方案 ,它可以帮助保护设备免受恶意软件、网络钓鱼攻击和其他威胁的侵害。它还包括一些帮助识别恶意网站的工具。
无论您是Team PC 还是 Team Mac,重要的是要意识到这两个平台都容易受到不断变化的网络威胁的影响。对流行的威胁和软件错误进行研究可以让您更好地保护您的在线安全。
顶 政企单位最易忽视的5大网络安全漏...
政企单位最易忽视的5大网络安全漏洞——来自“安全邦”安全服务专家的实战洞察 “在近期为中国农业科学院生物技术研究所开展的网络安全培训中,我们发现90%的漏洞源于
顶 航天守护,网安同行 —— 中国航...
【筑梦航天,安全先行】在这个科技日新月异的时代,网络安全不仅是数字世界的防线,更是国家航天事业的坚实后盾。中国航天科工集团第二研究院,作为我国航天事业的
助力昌平区网络安全建设专题培训圆...
当勒索病毒突然爆发导致系统锁死,当敏感数据意外泄露引发合规风险,当核心业务中断影响正常运转,一份科学完善的网络安全应急预案与扎实的应急演练能力,就是守护单位平稳
安全邦受邀开展北京青年宫网络安全...
安全邦受邀开展北京青年宫网络安全培训共筑信息安全防线基于对网络安全防护工作的重视及实际办公场景的安全需求,北京青年宫主动向安全邦发出诚挚邀请,希望借助安全邦在网
2025网络安全事件盘点:当数字...
一、开篇:藏在手机里的 “身边陷阱”“扫码领社保补贴” 的弹窗突然弹出,“本地发生重大事故” 的视频刷满朋友圈,“AI 预测彩票中奖” 的广告精准推送 ——20
网络安全法迎重要更新!2026 ...
在数字时代,网络安全早已不是陌生的话题,小到个人手机里的信息保护,大到关键设施的网络防护,都离不开法律的保驾护航。近期,《中华人民共和国网络安全法》完成重要修改
2025等保新规落地:企业如何从...
近日,网络安全领域迎来重要政策更新 —— 继年初相关指导文件发布后,最新的网络安全等级保护细化规则正式落地,标志着我国网络安全防护从 “形式备案” 全面转向 “
网络安全领域制度优化解读:企业合...
一、制度优化背景:回应数字安全新需求2017年《网络安全法》实施以来,我国数字空间环境持续演变,数据泄露、新型网络风险等问题日益突出,原有制度条款已难以满足数字
组件安全合规实践指南:构建企业数...
在数字化转型加速推进的背景下,企业系统构建高度依赖第三方组件,其安全合规已成为保障业务连续性的关键基石。本文基于行业最佳实践,从管理框架、技术落地、全生命周期管
政策强约束下的组件安全:2025...
2024 年底至 2025 年初,网络安全领域政策持续加码,其中《网络安全审查办法》的深化实施与配套解读(2024 年 12 月商务部修订版)最受关注。这份覆盖