保证运行的是你信任的程序
只保证了 GUI 下载的 app ( Safari Mail 和其他的) ,但是还是有很多 其他方式下载的能够绕过,比如:curl,ssh,brew 等,从而可以绕过 Gatekeeper
在 这个之后 使用了一个 Xprotect 检测对应的 quarantine bit 隔离属性,且 是基于 Yara 的规则检测 还是透明的。恶意软件可以修改自身实现绕过
Garekeeper 是 spctl (管理安全评估策略) 的前端,用于设定系统上的文件是否能被安装、执行和其他操作
但是我们可以设置新人从任意地址 下载的东西
sudo spctl --master-disable
在 System Preferences 中去设置
对于任何可以覆盖系统范围的设置并通过控件下载和执行不受信任的软件的特定用户来说
使用 sudo 密码是没有必要的
其中 CVE-2021-30657 存在绕过这个保护的方法,允许一个没有 info.plist 的 一个shell 脚本运行,从而防止被检测,只影响了苹果自己内置的安全机制,但是还是会被 第三方软件检测
下载的文件会被标记 com.apple.quarantine 扩展属性,有这个扩展属性,我们的 Gatekeeper 才会进行检测。但是利用 curl 下载的文件是不会被添加这个属性的。
安装程序包,也会移除这个 扩展属性,第三方文件获取GUI应用程序也可以选择不加入到下载中添加隔离属性。