Trzy miesiące temu odkryto lukę w funkcji Gatekeeper, która ma chronić macOS przed potencjalnie szkodliwym oprogramowaniem. Nie trzeba było długo czekać, aby pojawiły się pierwsze próby molestowania.
Jednak ekspert ds. bezpieczeństwa Filippo Cavallarin odkrył problem z samym sprawdzaniem podpisu aplikacji. Rzeczywiście, weryfikację autentyczności można w pewien sposób całkowicie ominąć.
W swojej obecnej formie Gatekeeper uważa dyski zewnętrzne i pamięć sieciową za „bezpieczne lokalizacje”. Oznacza to, że pozwala na uruchomienie dowolnej aplikacji w tych lokalizacjach bez ponownego sprawdzania. W ten sposób użytkownik może łatwo zostać oszukany i nieświadomie zamontować współdzielony dysk lub magazyn. Wszystko, co znajduje się w tym folderze, może zostać łatwo ominięte przez Gatekeepera.
Innymi słowy, pojedyncza podpisana aplikacja może szybko otworzyć drogę wielu innym, niepodpisanym. Cavallarin posłusznie zgłosił Apple lukę w zabezpieczeniach, a następnie czekał 90 dni na odpowiedź. Po upływie tego okresu ma prawo opublikować błąd, co ostatecznie uczynił. Nikt z Cupertino nie odpowiedział na jego inicjatywę.
Pierwsze próby wykorzystania luki prowadzą do plików DMG
Tymczasem firma zajmująca się bezpieczeństwem Intego odkryła próby wykorzystania dokładnie tej luki. Pod koniec ubiegłego tygodnia zespół zajmujący się złośliwym oprogramowaniem odkrył próbę dystrybucji szkodliwego oprogramowania przy użyciu metody opisanej przez Cavallarina.
Pierwotnie opisany błąd wykorzystywał plik ZIP. Nowa technika natomiast próbuje szczęścia z plikiem obrazu dysku.
Obraz dysku był w formacie ISO 9660 z rozszerzeniem .dmg lub bezpośrednio w formacie .dmg firmy Apple. Zwykle obraz ISO ma rozszerzenia .iso, .cdr, ale w przypadku systemu macOS znacznie częściej występuje .dmg (obraz dysku Apple). To nie pierwszy raz, kiedy złośliwe oprogramowanie próbuje wykorzystać te pliki, najwyraźniej w celu uniknięcia programów chroniących przed złośliwym oprogramowaniem.
Intego przechwycił w sumie cztery różne próbki przechwycone przez VirusTotal 6 czerwca. Różnica pomiędzy poszczególnymi wynikami była rzędu godzin, a wszystkie były połączone ścieżką sieciową z serwerem NFS.
Oprogramowanie reklamowe OSX/Surfbuyer udające Adobe Flash Player
Ekspertom udało się ustalić, że próbki są uderzająco podobne do oprogramowania reklamowego OSX/Surfbuyer. Jest to złośliwe oprogramowanie typu adware, które irytuje użytkowników nie tylko podczas przeglądania sieci.
Pliki udawały instalatory Adobe Flash Player. Jest to w zasadzie najczęstszy sposób, w jaki programiści próbują przekonać użytkowników do zainstalowania złośliwego oprogramowania na swoim komputerze Mac. Czwarta próbka została podpisana przez konto programisty Mastura Fenny (2PVD64XRF3), które w przeszłości było wykorzystywane przez setki fałszywych instalatorów Flasha. Wszystkie należą do oprogramowania reklamowego OSX/Surfbuyer.
Jak dotąd przechwycone próbki nie zrobiły nic innego, jak tylko tymczasowo utworzyły plik tekstowy. Ponieważ aplikacje były dynamicznie powiązane w obrazach dysków, w każdej chwili można było łatwo zmienić lokalizację serwera. I to bez konieczności edytowania rozpowszechnianego szkodliwego oprogramowania. Jest zatem prawdopodobne, że twórcy po testach zaprogramowali już aplikacje „produkcyjne” zawierające szkodliwe oprogramowanie. Nie musiał już być przechwytywany przez oprogramowanie chroniące przed złośliwym oprogramowaniem VirusTotal.
Firma Intego zgłosiła to konto programisty firmie Apple w celu unieważnienia urzędu podpisywania certyfikatu.
Ze względów bezpieczeństwa użytkownikom zaleca się instalowanie aplikacji głównie ze sklepu Mac App Store i uwzględnianie ich pochodzenia podczas instalowania aplikacji ze źródeł zewnętrznych.
Petr Szkuta 
Amaya Toman 
Daniel Hruska 