Följ oss här

Säkerhet

Apple har börjat “godkänna” skadlig kod – nu växer en ny lucka i macOS-skyddet

En ny rapport från Jamf Threat Labs pekar på ett problem som växer snabbt i macOS-världen: skadliga appar som tar sig förbi Apples viktigaste skydd – genom att vara både kodsignerade med ett riktigt utvecklarcertifikat och dessutom notariserade av Apple.

Publicerad

2 timmar sedan

d.

Hacker i en Hoodie

frank60 / shutterstock

Det gör att Gatekeeper, macOS inbyggda spärr mot osäkra appar, inte har någon tydlig anledning att stoppa dem. Enligt Jamf Threat Labs har deras senaste fynd koppling till ännu en variant av den allt mer spridda skadefamiljen MacSync Stealer.

Så luras macOS – med Apples egna stämplar

Normalt är Apples modell enkel: appar utanför Mac App Store måste vara kryptografiskt signerade och notariserade för att kunna öppnas utan att användaren behöver kringgå säkerhetsvarningar. Tanken är att notarisationen ska höja ribban för angripare – men den bygger också på att en signatur i praktiken signalerar “goda intentioner”.

Det är här problemet växer. Angripare lyckas i allt högre grad komma över riktiga Developer ID-certifikat – ibland genom intrång, ibland via mörka marknader – och kan då paketera skadlig kod i något som vid första anblick ser helt legitimt ut. Resultatet: malware som ser “rätt” ut vid installation, men som visar sitt verkliga ansikte först senare. Det här lyfts också i rapporteringen från BleepingComputer och CSO Online.

Tricket: ofarlig app vid granskning – farlig efter start

Jamf beskriver hur den notariserade appen ofta är en relativt enkel Swift-baserad “front” som ser oskyldig ut under Apples statiska analys. Själva skadebeteendet sker i stället senare, när appen kontaktar en server och hämtar fler komponenter. Om den farliga nyttolasten inte finns där när Apple granskar appen – och bara laddas ner efteråt – har Apples kontrollsystem inget konkret att analysera vid notarisationen.

Läs också: Nvidia passerade 4 000 miljarder dollar

Det här är en effektiv metod eftersom notarisationen i praktiken bedömer det som skickas in just då, inte nödvändigtvis vad programmet kommer att göra när det körs i verkligheten. Enligt Jamf Threat Labs har man också rapporterat den aktuella Developer Team ID:n till Apple, och certifikatet ska därefter ha återkallats.

Inte första gången – men utvecklingen fortsätter

Apple-notariserad skadlig kod är inte en helt ny företeelse. Redan 2020 rapporterades fall där Apple oavsiktligt godkänt malware via notarisationen, bland annat kopplat till Shlayer-adware, enligt Wired och MacRumors.

Ändå finns en tydlig skillnad: dagens metoder är mer strategiska och designade för att utnyttja gränsen mellan “vad som syns vid granskning” och “vad som händer efter installation”. Enligt SecurityWeek är MacSync Stealer en del av en växande ekonomi av macOS-skadlig kod, där målet ofta är att stjäla kontouppgifter, API-nycklar och kryptoplånboksdata.

Är detta Apples fel? Delvis – men inte hela bilden

Det är lätt att vilja lägga allt ansvar på Apple, men bilden är mer komplex. Kodsignering och notarisation var aldrig tänkt som en garanti för att en app är “god” för alltid – snarare att den kan spåras till en identifierbar utvecklare och att certifikat kan återkallas när missbruk upptäcks.

Läs också: Apple vill köpa F1-rättigheterna

Samtidigt är det svårt att bortse från att notarisationen ger en stark psykologisk trygghet: många användare tolkar Apples godkännande som en tydlig säkerhetsstämpel. När angripare lär sig att efterlikna legitim programvara perfekt vid installation blir den förtroendebaserade modellen ett nytt angreppsmål i sig.

Så skyddar du dig som Mac-användare

Det här är en typ av hot som inte alltid syns förrän det är för sent – men du kan minska risken tydligt:

  • Ladda ner programvara direkt från utvecklare du litar på eller via Mac App Store
  • Undvik “installers” från okända sidor, särskilt om de efterliknar populära appar
  • Se upp för appar som snabbt begär ovanliga behörigheter
  • Ha uppdaterat macOS och säkerhetsuppdateringar aktiverade
  • Använd gärna extra skydd i form av EDR/antivirus, särskilt i företag eller vid känsliga arbetsflöden

Ett hot som lär fortsätta in i 2026

MacSync Stealer-varianten visar att angripare inte längre bara försöker kringgå Apples skydd – de försöker utnyttja det genom att “låna” Apples legitimitetsstämpel. Det gör attacker svårare att upptäcka och ökar pressen på både Apple och säkerhetsbranschen att hitta nya sätt att analysera beteenden efter installation, inte bara paketet vid inskick.

Det här är ett angreppsspår som snabbt kan bli en ny norm – och som sannolikt kommer att följas noggrant under 2026.

Läs också: Samsung fortsätter med galna priser

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns

Liknande artiklar:

Jag är skribent på Media Group Denmark och skriver för de svenska plattformarna Dagens.se och Teksajten.se. Under det senaste året på MGDK har jag fokuserat på nyheter, teknik och samhälle, med ett tydligt mål att göra komplexa ämnen begripliga för alla. Jag har varit aktiv online sedan 1995 och är fortfarande fascinerad av den ständigt föränderliga digitala världen – från ny teknik och politik till samhällsförändringar och nya sätt att berätta historier – Muck Rack

Annons