On August 23, following an update to Apple’s XProtect system—one of the security features built into macOS—some Mac users began to see security alerts about some of their apps, claiming that they “will damage your computer,” and offering users the option to “report malware to Apple.” This has led to much confusion online, and to an influx of requests in our support system asking about this malware. The most common so far has been from an app named ReceiverHelper.

“receptiverhelper”会损坏您的计算机。将恶意软件报告给Apple以保护其他用户
Apple Xprotect警报关于接收Helper

是receptionhelper malware?

如果你是受影响的人之一,那么好消息就是这根本不是恶意。它是Citrix的一个组成部分,它是由同名的合法软件。并非所有Citrix软件都被标记为恶意,幸运的是。只有一些旧版本的软件导致问题。

当然,如果你认为这是恶意软件,我们会原谅你的。不仅macOS显然是这么说的,它的名字也很可疑。最近有相当多的Mac广告软件使用奇怪的两个单词的名字,比如StandardBoost或ActivityInput。所有这些广告软件的名字都很通用,没有透露它们实际上应该做什么。不幸的是,“ReceiverHelper”这个名字正好适合。

ReceiverHelper并不孤单。还有几个其他的应用程序出问题了。其中还有另外两个Citrix应用,servicerrecords和AuthManager_Mac。(这就好像Citrix试图让自己的应用程序听起来可疑!)其他公司也看到了对旧应用的影响,比如AnyConnect的vpnagentd。

导致警告是什么?

就像去年惠普打印机的类似问题一样,这都是关于代码签名的。你会问,什么是代码签名?简而言之,这是一种验证应用程序没有被篡改的加密方式。如果一款应用是由创建它的公司签署的,那么你就可以确定你使用的是该软件的纯版本。代码签名是一个非常重要的安全特性,所有的应用程序都应该被签名。如果不是,就不能说是100%安全的。(有关代码签名和证书的入门知识,请参阅我们的惠普事件之前的报道.)

简单来说,代码签名依赖于信任链:使用密钥执行签名。组织证明了使用数字证书对该秘密密钥的所有权,并且证书的真实性由证书颁发机构(CA)保证。

在惠普事件中,惠普撤销了用于为其打印机软件签名的证书。人们苹果机上的惠普软件没有改变,但为它担保的信任链被破坏了,所以它开始像恶意软件一样触发警报。

这一次,信任链再次被破坏,但问题不在于证书,而在于为证书提供担保的CA。

CA是一个有信任的组织,发出证书。在Mac应用程序的情况下,你真的应该直接从苹果获取证书。然而,并不是每个公司都这样做,一些公司会使用从第三方获得的证书来签署他们的应用程序。

Citrix完全做到了这一点,决定困扰着它们。事实证明,他们对CA的选择非常糟糕,以获取他们的证书:Symantec。

赛门铁克有什么问题?

几年前,赛门铁克提供CA服务。然而,赛门铁克CA有点玩弄规则,这是永远不会对CA。作为一个证书颁发机构的一个重要组成部分是信任,和赛门铁克犯了一些错误,这些错误导致了一个调查,发现是什么高度有关。

因此,人们普遍认为应该逐步取消对赛门铁克证书的信任。不信任赛门铁克证书的缓慢过程始于2018年。

在2021年8月23日,苹果推出了XProtect的更新,其中包括拒绝使用赛门铁克颁发的证书签名的任何代码。macOS中的Gatekeeper进程将拒绝任何使用此类证书签名的应用程序,显示出臭名昭著的“将损坏您的计算机”消息。

对于那些技术上倾向而且拥有其中一个受影响的应用程序,您可以自己验证这一点合作设计spctl.终端中的命令:

%代号 -  Verify  -  verbose / susr/local/libexec/receiverhelper.app /usr/local/libexec/receiverhelper.app:有效的磁盘/ usr/local/libexec/receiverhelper.app:满足其指定要求%spctl  -一个/usr/local/libexec/receiverhelper.app /usr/local/libexec/receiverhelper.app:拒绝

合作设计命令表明代码签名仍然有效 - 意味着应用程序尚未被篡改,证书尚未被撤销。然而spctl.使用Gatekeeper检查文件的命令显示它被拒绝,因此不会允许运行。

如何解决这些问题?

最好的修复是简单地删除或更新受影响的软件。不幸的是,我们无法帮助你。我们擅长在Malwarebytes删除Malware,但这并不是那样的。必威平台APP您需要从受影响的软件的供应商中查找如何删除或更换它。对于Citrix软件,我们建议您联系Citrix支持。(不幸的是,如果他们没有活动的帐户,我们已经有一些报告将Citrix支持转向人们,所以您可能需要持久地。)

我们知道受影响的Citrix应用程序(我们知道的)位于以下路径:

/ usr / local / libexec /

为什么?问得好,我不知道。macOS上不是放这些东西的地方。从这个位置删除ReceiverHelper、servicerrecords和AuthManager_Mac可能会解决您的问题。它也可能导致其他问题,因为这不会是一个完全卸载。你这样做的风险自负,我们建议你把它作为最后的手段。

避免骗局!

不幸的是,如果你现在在谷歌中输入“remove ReceiverHelper”之类的东西,你会在结果中得到一堆诈骗网站。这些网站声称帮助你删除软件,但实际上这些指令是自动生成的。这些网站的目标是在搜索结果中排名靠前,调用用户正在搜索的恶意软件(ReceiverHelper等,在这种情况下),然后向那些访问并发现他们在(无意义的)指令中遇到麻烦的人推销一些垃圾软件。

当你有这样的问题时,谷歌和其他搜索引擎可能是你最大的敌人。相反,考虑询问必威平台APPMalwarebytes论坛苹果的论坛或类似的地方,获得更好的建议。