Пред три месеци беше откриена ранливост во функцијата Gatekeeper, која треба да го заштити macOS од потенцијално штетен софтвер. Не требаше долго да се појават првите обиди за злоупотреба.
Gatekeeper е дизајниран да контролира Mac апликации. Софтвер кој не е потпишан од Apple тогаш системот е означен како потенцијално опасен и бара дополнителна корисничка дозвола пред инсталацијата.
Сепак, експертот за безбедност Филипо Каваларин откри проблем со самата проверка на потписот на апликацијата. Навистина, проверката на автентичноста може целосно да се заобиколи на одреден начин.
Во сегашната форма, Gatekeeper ги смета надворешните погони и мрежното складирање како „безбедни локации“. Ова значи дека дозволува секоја апликација да работи на овие локации без повторно да се проверува.На овој начин, корисникот може лесно да биде измамен да несвесно монтира споделен диск или складиште. Сè што е во таа папка потоа лесно се заобиколува од Gatekeeper.
Со други зборови, една потпишана апликација може брзо да го отвори патот за многу други, непотпишани. Каваларин совесно го пријавил безбедносниот пропуст на Apple и потоа чекал 90 дена за одговор. По овој период, тој има право да ја објави грешката, што на крајот и го направи. Никој од Купертино не одговори на неговата иницијатива.
Првите обиди за искористување на ранливоста водат до DMG-датотеки
Во меѓувреме, безбедносната фирма Интего откри обиди да ја искористи токму оваа ранливост. Кон крајот на минатата недела, тимот на малициозен софтвер откри обид да се дистрибуира малициозен софтвер користејќи го методот опишан од Каваларин.
Првично опишаната грешка користела ZIP-датотека. Новата техника, од друга страна, ја пробува среќата со датотека со слика на дискот.
Сликата на дискот беше или во формат ISO 9660 со екстензија .dmg или директно во формат .dmg на Apple. Вообичаено, ISO-сликата ги користи екстензиите .iso, .cdr, но за macOS, .dmg (слика на дискот на Apple) е многу почеста. Не е прв пат малициозен софтвер да се обидува да ги користи овие датотеки, очигледно за да избегне програми против малициозен софтвер.
Интего сними вкупно четири различни примероци снимени од VirusTotal на 6-ти јуни. Разликата помеѓу поединечните наоди беше во редот на часови и сите тие беа поврзани со мрежна патека до серверот NFS.
Рекламен софтвер OSX/Surfbuyer маскиран како Adobe Flash Player
Експертите успеаја да откријат дека примероците се неверојатно слични на OSX/Surfbuyer adware. Ова е злонамерен софтвер кој ги нервира корисниците не само додека прелистуваат на интернет.
Датотеките беа маскирани како инсталатери на Adobe Flash Player. Ова е во основа најчестиот начин на кој програмерите се обидуваат да ги убедат корисниците да инсталираат малициозен софтвер на нивниот Mac. Четвртиот примерок беше потпишан од програмерската сметка Mastura Fenny (2PVD64XRF3), која се користеше за стотици лажни инсталатери на Flash во минатото. Сите тие спаѓаат под OSX/Surfbuyer adware.
Досега, заробените примероци не направија ништо освен привремено создавање текстуална датотека. Бидејќи апликациите беа динамички поврзани во сликите на дискот, беше лесно да се смени локацијата на серверот во секое време. И тоа без да мора да го уредувате дистрибуираниот малициозен софтвер. Затоа, веројатно е дека креаторите, по тестирањето, веќе програмирале апликации за „производство“ со содржан малициозен софтвер. Веќе не мораше да биде фатен од анти-малверот VirusTotal.
Интего ја пријави оваа програмерска сметка на Apple за да му се одземе овластувањето за потпишување сертификати.
За дополнителна безбедност, на корисниците им се советува да инсталираат апликации првенствено од Mac App Store и да размислуваат за нивното потекло кога инсталираат апликации од надворешни извори.
Петр Шкута 
Амаја Томан 
Даниел Хрушка 