Преди три месеца беше открита уязвимост във функцията Gatekeeper, която трябва да защитава macOS от потенциално вреден софтуер. Не след дълго се появяват първите опити за малтретиране.
Експертът по сигурността Филипо Каваларин обаче откри проблем със самата проверка на подписа на приложението. Всъщност проверката за автентичност може да бъде напълно заобиколена по определен начин.
В настоящата си форма Gatekeeper разглежда външните дискове и мрежовото хранилище като „сигурни местоположения“. Това означава, че позволява на всяко приложение да работи в тези местоположения, без да проверява отново. По този начин потребителят може лесно да бъде подмамен да монтира несъзнателно споделено устройство или хранилище. След това всичко в тази папка лесно се заобикаля от Gatekeeper.
С други думи, едно единствено подписано приложение може бързо да отвори пътя за много други, неподписани. Cavallarin прилежно докладва за пропуска в сигурността на Apple и след това изчака 90 дни за отговор. След този период той има право да публикува грешката, което в крайна сметка и направи. Никой от Купертино не откликна на инициативата му.
Първите опити за използване на уязвимостта водят до DMG файлове
Междувременно фирмата за сигурност Intego разкри опити да се използва точно тази уязвимост. В края на миналата седмица екипът за злонамерен софтуер откри опит за разпространение на зловреден софтуер чрез метода, описан от Cavallarin.
Първоначално описаният бъг използва ZIP файл. Новата техника, от друга страна, опитва късмета си с файл с изображение на диск.
Изображението на диска беше или във формат ISO 9660 с разширение .dmg, или директно във формат .dmg на Apple. Обикновено ISO изображение използва разширенията .iso, .cdr, но за macOS .dmg (Apple Disk Image) е много по-разпространено. Не е първият път, когато зловреден софтуер се опитва да използва тези файлове, очевидно за да избегне анти-зловреден софтуер програми.
Intego засне общо четири различни проби, заснети от VirusTotal на 6 юни. Разликата между отделните констатации беше в порядъка на часове и всички те бяха свързани чрез мрежов път към NFS сървъра.
Рекламен софтуер за OSX/Surfbuyer, маскиран като Adobe Flash Player
Експертите успяха да установят, че пробите са поразително подобни на рекламния софтуер OSX/Surfbuyer. Това е рекламен зловреден софтуер, който дразни потребителите не само докато сърфират в мрежата.
Файловете бяха маскирани като инсталатори на Adobe Flash Player. Това всъщност е най-често срещаният начин, по който разработчиците се опитват да убедят потребителите да инсталират зловреден софтуер на своя Mac. Четвъртата проба беше подписана от акаунта на програмист Mastura Fenny (2PVD64XRF3), който е бил използван за стотици фалшиви инсталатори на Flash в миналото. Всички те попадат под рекламния софтуер на OSX/Surfbuyer.
Досега заснетите проби не са направили нищо, освен временно създаване на текстов файл. Тъй като приложенията бяха динамично свързани в дисковите изображения, беше лесно да се промени местоположението на сървъра по всяко време. И това без да се налага да редактирате разпространения зловреден софтуер. Следователно е вероятно създателите, след тестване, вече да са програмирали „производствени“ приложения със съдържащ злонамерен софтуер. Вече не трябваше да бъде уловен от VirusTotal анти-зловреден софтуер.
Intego съобщи за този акаунт на програмист на Apple, за да бъдат отменени неговите права за подписване на сертификат.
За допълнителна сигурност потребителите се съветват да инсталират приложения предимно от Mac App Store и да мислят за техния произход, когато инсталират приложения от външни източници.
Петър Шкута 
Амая Томан 
Даниел Хруска 