Prije tri mjeseca otkrivena je ranjivost u funkciji Gatekeeper koja bi trebala zaštititi macOS od potencijalno štetnog softvera. Nije dugo trebalo da se pojave prvi pokušaji zlostavljanja.
Gatekeeper je dizajniran za kontrolu Mac aplikacija. Softver koji nije potpisao Apple tada ga sustav označava kao potencijalno opasno i zahtijeva dodatnu korisničku dozvolu prije instalacije.
Međutim, sigurnosni stručnjak Filippo Cavallarin otkrio je problem sa samom provjerom potpisa aplikacije. Dapače, provjera autentičnosti može se na određeni način u potpunosti zaobići.
U svom trenutnom obliku, Gatekeeper smatra vanjske diskove i mrežnu pohranu "sigurnim lokacijama". To znači da je bilo kojoj aplikaciji dopušteno pokretanje na ovim lokacijama bez ponovne provjere. Na taj način korisnik može biti lako prevaren da nesvjesno montira zajednički disk ili pohranu. Gatekeeper zatim lako zaobilazi bilo što u toj mapi.
Drugim riječima, jedna potpisana aplikacija može brzo otvoriti put mnogim drugim, nepotpisanim. Cavallarin je uredno prijavio sigurnosni propust Appleu i zatim čekao 90 dana na odgovor. Nakon tog roka ima pravo objaviti grešku, što je na kraju i učinio. Nitko iz Cupertina nije odgovorio na njegovu inicijativu.
Prvi pokušaji iskorištavanja ranjivosti dovode do DMG datoteka
U međuvremenu, zaštitarska tvrtka Intego otkrila je pokušaje iskorištavanja upravo ove ranjivosti. Krajem prošlog tjedna tim za zlonamjerni softver otkrio je pokušaj distribucije zlonamjernog softvera koristeći metodu koju je opisao Cavallarin.
Izvorno opisani bug koristio je ZIP datoteku. Nova tehnika, s druge strane, iskušava sreću s datotekom slike diska.
Slika diska bila je u formatu ISO 9660 s nastavkom .dmg ili izravno u formatu .dmg tvrtke Apple. Obično ISO slika koristi ekstenzije .iso, .cdr, ali za macOS je .dmg (Apple Disk Image) puno češća. Nije prvi put da zlonamjerni softver pokušava koristiti te datoteke, očito kako bi izbjegao anti-malware programe.
Intego je snimio ukupno četiri različita uzorka koje je snimio VirusTotal 6. lipnja. Razlika između pojedinačnih nalaza bila je u redoslijedu sati, a svi su bili povezani mrežnim putem s NFS poslužiteljem.
OSX/Surfbuyer reklamni softver prerušen u Adobe Flash Player
Stručnjaci su uspjeli otkriti da su uzorci nevjerojatno slični OSX/Surfbuyer adwareu. Ovo je adware malware koji smeta korisnicima ne samo dok pregledavaju web.
Datoteke su bile prerušene u programe za instalaciju Adobe Flash Playera. Ovo je u osnovi najčešći način na koji programeri pokušavaju uvjeriti korisnike da instaliraju zlonamjerni softver na njihov Mac. Četvrti uzorak potpisao je račun razvojnog programera Mastur Fenny (2PVD64XRF3), koji je u prošlosti korišten za stotine lažnih programa za instalaciju Flasha. Svi oni spadaju pod OSX/Surfbuyer adware.
Do sada, snimljeni uzorci nisu učinili ništa osim što su privremeno stvorili tekstualnu datoteku. Budući da su aplikacije bile dinamički povezane u slikama diskova, bilo je lako promijeniti lokaciju poslužitelja u bilo kojem trenutku. I to bez potrebe za uređivanjem distribuiranog zlonamjernog softvera. Stoga je vjerojatno da su kreatori, nakon testiranja, već programirali "produkcijske" aplikacije sa sadržanim malwareom. VirusTotal anti-malware ga više nije morao uhvatiti.
Intego je prijavio ovaj račun programera Appleu kako bi mu se opozvalo ovlaštenje za potpisivanje certifikata.
Za dodatnu sigurnost, korisnicima se savjetuje da instaliraju aplikacije prvenstveno iz Mac App Storea i da razmisle o njihovom podrijetlu kada instaliraju aplikacije iz vanjskih izvora.
Petr Škuta 
Amaya Toman 
Daniel Hruška 