Prije tri mjeseca otkrivena je ranjivost u funkciji Gatekeeper, koja bi trebala zaštititi macOS od potencijalno štetnog softvera. Nije trebalo dugo da se pojave prvi pokušaji zlostavljanja.
Gatekeeper je dizajniran za kontrolu Mac aplikacija. Softver koji nije potpisao Apple onda ga sistem označava kao potencijalno opasan i zahtijeva dodatnu korisničku dozvolu prije instalacije.
Međutim, stručnjak za sigurnost Filippo Cavallarin otkrio je problem sa samom provjerom potpisa aplikacije. Zaista, provjera autentičnosti može se u potpunosti zaobići na određeni način.
U svom trenutnom obliku, Gatekeeper smatra vanjske diskove i mrežnu pohranu kao "sigurne lokacije". To znači da omogućava pokretanje bilo koje aplikacije na ovim lokacijama bez ponovne provjere. Sve što se nalazi u toj fascikli tada lako zaobilazi Gatekeeper.
Drugim riječima, jedna potpisana aplikacija može brzo otvoriti put mnogim drugim, nepotpisanim aplikacijama. Cavallarin je savjesno prijavio sigurnosni propust Appleu, a zatim je čekao 90 dana na odgovor. Nakon ovog perioda, on ima pravo da objavi grešku, što je na kraju i učinio. Niko iz Cupertina nije odgovorio na njegovu inicijativu.
Prvi pokušaji iskorištavanja ranjivosti dovode do DMG datoteka
U međuvremenu, sigurnosna firma Intego je otkrila pokušaje da se iskoristi upravo ova ranjivost. Krajem prošle sedmice, tim zlonamjernog softvera otkrio je pokušaj distribucije zlonamjernog softvera metodom koju je opisao Cavallarin.
Prvobitno opisana greška koristila je ZIP datoteku. Nova tehnika, s druge strane, okušava sreću sa datotekom slike diska.
Slika diska je bila ili u ISO 9660 formatu sa ekstenzijom .dmg, ili direktno u Appleovom .dmg formatu. Obično, ISO slika koristi ekstenzije .iso, .cdr, ali za macOS, .dmg (Apple Disk Image) je mnogo češći. Nije prvi put da zlonamjerni softver pokušava koristiti ove datoteke, očito da bi izbjegao anti-malware programe.
Intego je uhvatio ukupno četiri različita uzorka koje je uhvatio VirusTotal 6. juna. Razlika između pojedinačnih nalaza bila je u redoslijedu sati, a svi su bili povezani mrežnom putanjom do NFS servera.
OSX/Surfbuyer reklamni softver prerušen u Adobe Flash Player
Stručnjaci su uspjeli otkriti da su uzorci zapanjujuće slični OSX/Surfbuyer adveru. Ovo je adware zlonamjerni softver koji nervira korisnike ne samo dok pretražuju web.
Fajlovi su bili maskirani kao programi za instalaciju Adobe Flash Playera. Ovo je u osnovi najčešći način na koji programeri pokušavaju uvjeriti korisnike da instaliraju zlonamjerni softver na svoj Mac. Četvrti uzorak potpisao je programerski račun Mastura Fenny (2PVD64XRF3), koji je korišten za stotine lažnih Flash instalatera u prošlosti. Svi oni potpadaju pod OSX/Surfbuyer adware.
Do sada, snimljeni uzorci nisu radili ništa osim privremenog kreiranja tekstualne datoteke. Budući da su aplikacije bile dinamički povezane u slikama diska, bilo je lako promijeniti lokaciju servera u bilo kojem trenutku. I to bez potrebe za uređivanjem distribuiranog zlonamjernog softvera. Stoga je vjerovatno da su kreatori, nakon testiranja, već programirali "proizvodne" aplikacije sa sadržanim zlonamjernim softverom. Više ga nije morao uhvatiti VirusTotal anti-malware.
Intego je prijavio Apple-u ovaj račun programera da mu opozove ovlaštenje za potpisivanje certifikata.
Za dodatnu sigurnost, korisnicima se savjetuje da instaliraju aplikacije prvenstveno iz Mac App Store-a i da razmisle o njihovom porijeklu kada instaliraju aplikacije iz vanjskih izvora.
Petr Škuta 
Amaya Toman 
Daniel Hruska 