如何验证你下载了正版的苹果软件

苹果公司刚刚发布了macOS 10.13“High Sierra”的早期开发者预览版,面向其99欧元/年开发者计划的成员。对于一些macOS的狂热者来说——他们相信自己是Mac OS直到周一——从苹果官方渠道以外的渠道下载这一更新可能是非常诱人的。

我强烈反对任何人从任何第三方来源下载您的操作系统的副本。然而,我知道有些人会无视这些建议,不管怎样都去做。下面是如何验证你下载的是苹果软件的正版,没有被恶意修改过。

苹果开发者计划并不贵,每年99欧元,然而,要求提前一个月进入一个软件,几个月后免费赠送,这有点贵。

无论什么原因,你可能已经从一个黑暗角落的网络或可能是BitTorrent的macOS“高Sierra”拷贝。你怎么知道这没有被修改为侧载恶意软件,病毒,加密勒索软件,谁知道还有什么其他肮脏的可能被捆绑在新的操作系统更新?如果不是因为密码学,你根本不可能知道。

苹果用自己的加密密钥签署所有软件和软件更新。如果应用程序包被修改或损坏,苹果放在上面的加密签名就会被破坏。除了苹果之外,任何人都不可能放弃一个带有苹果签名密钥的修改过的软件包。

为了验证开发者预览版的安装程序的签名(或任何其他应用程序):

  1. 拖动安装10.13 Developer Preview.app到您的下载文件夹。
  2. 打开终端app,仔细输入以下命令,回车。
codesign—display—deep—verbose=2 "~/Downloads/Install 10.13 Developer Preview。应用程序“&& echo $?

该命令将输出有关安装程序的数字签名的信息。

  1. 依次寻找并验证这些要点:
  • 有句话是这样说的权威=苹果根CA”。
  • 有句话是这样说的授权=苹果Mac OS应用程序签名”。
  • 最后一行是数字"0”。

删除下载的应用程序立即如果命令输出“代码对象根本没有签名,苹果根CA不是签名机构之一,或者最后一行的数字是除了零以外的任何数字。

然后,运行下面的命令来验证签yabo亚博体育下载名没有被破坏:

codesign—verify—deep—verbose=2 "~/Downloads/Install 10.13 Developer Preview.app"

如果你已经打开并运行了你想要验证的下载程序,那么把安装程序复制到另一台Mac上,在那里重复上述步骤。一旦你运行了它,一个恶意的应用程序可能已经安装自己作为一个根证书权威伪装成“苹果根CA”,从而绕过了这个测试。这不大可能,但也有可能。

这只有通过验证的助手应用程序本身的安装程序。不幸的是,操作系统软件包,你是要安装明确从代码签署检查排除。(为什么,苹果!?为什么?!)幸运的是,安装包的MD5校验和(InstallESD.dmg)是硬编码到安装程序可执行文件(brtool)这是我们刚刚验证的包的一部分。如果包被以任何方式修改,安装程序将拒绝开始安装。作为一个不错的奖励,您现在还验证了下载没有以任何方式被破坏。

生活中没有绝对的保证,但在这个阶段,你应该相当确定你下载了正版的苹果产品。如果它确实在某种程度上被恶意修改过,那么苹果和软件行业在某种程度上比你面临的麻烦更大。

在任何情况下,你都可能想要格式化你的Mac,并安装一个全新的、真正发行的macOS版本,只要苹果公司向公众提供一个可用的版本。当公开发行版可用时,清除开发人员预览和测试版只是一种良好的计算机卫生。

在看到一篇建议验证第三方发布的Developer Preview Installer附带的校验和的文章后,我想与您分享这一点。当校验和来自可信来源时,这是个不错的建议,但是您不能信任第三方提供的校验和。他们可以分发一个校验和来匹配修改后的代码,就像真正的校验和一样容易。

在外面保持安全!不要从网上随便下载你找到的所有东西。玩的乐趣探索新的macOS“高塞拉”!