În urmă cu trei luni, a fost descoperită o vulnerabilitate în funcția Gatekeeper, care ar trebui să protejeze macOS de software-ul potențial dăunător. Nu a durat mult până să apară primele încercări de abuz.
Gatekeeper este conceput pentru a controla aplicațiile Mac. Software care nu este semnat de Apple este apoi marcat ca potențial periculos de către sistem și necesită permisiunea suplimentară de utilizator înainte de instalare.
Cu toate acestea, expertul în securitate Filippo Cavallarin a descoperit o problemă cu verificarea semnăturii aplicației în sine. Într-adevăr, verificarea autenticității poate fi ocolită complet într-un anumit fel.
În forma sa actuală, Gatekeeper consideră unitățile externe și stocarea în rețea drept „locații sigure”. Aceasta înseamnă că permite oricărei aplicații să ruleze în aceste locații fără a verifica din nou. În acest fel, utilizatorul poate fi păcălit cu ușurință să monteze, fără să știe, o unitate de stocare partajată. Orice din acel folder este apoi ușor ocolit de Gatekeeper.
Cu alte cuvinte, o singură aplicație semnată poate deschide rapid calea pentru multe altele, nesemnate. Cavallarin a raportat cu respect defectul de securitate către Apple și apoi a așteptat 90 de zile pentru un răspuns. După această perioadă, el are dreptul să publice eroarea, ceea ce a făcut-o în cele din urmă. Nimeni din Cupertino nu a răspuns inițiativei sale.
Primele încercări de a exploata vulnerabilitatea duc la fișiere DMG
Între timp, firma de securitate Intego a descoperit încercări de a exploata exact această vulnerabilitate. La sfârșitul săptămânii trecute, echipa de malware a descoperit o încercare de a distribui malware folosind metoda descrisă de Cavallarin.
Bug-ul descris inițial a folosit un fișier ZIP. Noua tehnică, pe de altă parte, își încearcă norocul cu un fișier imagine disc.
Imaginea de disc era fie în format ISO 9660 cu extensia .dmg, fie direct în formatul Apple .dmg. În mod obișnuit, o imagine ISO folosește extensiile .iso, .cdr, dar pentru macOS, .dmg (Imagine de disc Apple) este mult mai comună. Nu este prima dată când malware încearcă să folosească aceste fișiere, aparent pentru a evita programele anti-malware.
Intego a capturat un total de patru mostre diferite capturate de VirusTotal pe 6 iunie. Diferența dintre constatările individuale a fost de ordinul orelor și toate au fost conectate printr-o cale de rețea la serverul NFS.
Adware OSX/Surfbuyer deghizat în Adobe Flash Player
Experții au reușit să descopere că mostrele sunt uimitor de similare cu adware-ul OSX/Surfbuyer. Acesta este un malware adware care deranjează utilizatorii nu numai în timp ce navighează pe web.
Fișierele au fost deghizate ca programe de instalare Adobe Flash Player. Acesta este practic cel mai comun mod în care dezvoltatorii încearcă să convingă utilizatorii să instaleze programe malware pe Mac-ul lor. Al patrulea eșantion a fost semnat de contul de dezvoltator Mastura Fenny (2PVD64XRF3), care a fost folosit pentru sute de instalatori Flash falși în trecut. Toate se încadrează în adware OSX/Surfbuyer.
Până acum, mostrele capturate nu au făcut altceva decât să creeze temporar un fișier text. Deoarece aplicațiile erau legate dinamic în imaginile de pe disc, a fost ușor să schimbați locația serverului în orice moment. Și asta fără a fi nevoie să editați malware-ul distribuit. Prin urmare, este probabil ca creatorii, după testare, să fi programat deja aplicații „de producție” cu conținut malware. Nu mai trebuia să fie prins de anti-malware VirusTotal.
Intego a raportat la Apple acest cont de dezvoltator pentru ca autoritatea de semnare a certificatelor să fie revocată.
Pentru un plus de securitate, utilizatorii sunt sfătuiți să instaleze aplicații în primul rând din Mac App Store și să se gândească la originea lor atunci când instalează aplicații din surse externe.
Petr Škuta 
Amaya Toman 
Daniel Hruska 