Tri mesiace späť bola objavená zraniteľnosť vo funkcii Gatekeeper, ktorá má macOS chrániť pred potenciálne škodlivým softvérom. Netrvalo dlho a objavili sa prvé pokusy o zneužitie.
Gatekeeper je navrhnutý tak, aby kontroloval aplikácie pre Mac. Softvér, ktorý nie je podpísaný Applem je potom systémom označený ako potenciálne nebezpečný a vyžaduje dodatočné povolenie užívateľa pred inštaláciou.
Bezpečnostný odborník Filippo Cavallarin však odhalil problém týkajúci sa samotnej kontroly podpisu aplikácie. Kontrola pravosti totiž môže byť určitým spôsobom úplne obejitá.
Vo svojej súčasnej podobe považuje Gatekeeper externé disky a sieťové úložiská za „bezpečné umiestnenie“. To znamená, že dovolí sa spustiť akejkoľvek aplikácii v týchto umiestneniach bez opätovnej kontroly. Užívateľ tak môže byť jednoducho oklamaný a nevedomky pripojiť zdieľaný disk alebo úložisko. Čokoľvek v danej zložke potom ľahko zaobíde Gatekeeper.
Inými slovami, jediná podpísaná aplikácia môže rýchlo otvoriť cestu mnohým ďalším, nepodpísaným. Cavallarin svedomito bezpečnostnú chybu nahlásil Applu a potom čakal 90 dní na odpoveď. Po tejto lehote je oprávnený chybu zverejniť, čo nakoniec urobil. Nikto z Cupertina totiž na jeho podnet nereagoval.
Prvé pokusy o zneužitie zraniteľnosti vedú k DMG súborom
Medzitým odhalila bezpečnostná firma Intego pokusy o zneužitie presne tejto zraniteľnosti. Tím zaoberajúci sa malwarom objavil zkraje minulého týždňa pokus o distribúciu malwaru metódou, ktorú opisuje Cavallarin.
Pôvodne popísaná chyba využívala ZIP súbor. Nová technika naopak skúša šťastie so súborom obrazu disku.
Diskový obraz bol buď formátu ISO 9660 s koncovkou .dmg, alebo priamo Applovský formát .dmg. Bežne využíva ISO obraz obvykle prípony .iso, .cdr, ale pre macOS je oveľa bežnejšie .dmg (Apple Disk Image). Nie je to prvýkrát, čo sa malware snaží využiť práve tieto súbory, zrejme aby sa vyhol anti-malwarovým programom.
Intego zachytilo celkom štyri rôzne vzorky, ktoré zachytil VirusTotal šiesteho júna. Rozdiel medzi jednotlivými nálezmi bol rádovo v hodinách a všetky spájala sieťová cesta na NFS server.
Adware OSX/Surfbuyer maskovaný ako Adobe Flash Player
Odborníkom sa podarilo zistiť, že vzorky nápadne pripomínajú adware OSX/Surfbuyer. Ide o reklamný malware, ktorý obťažuje používateľov nielen pri prezeraní webu.
Súbory boli maskované ako inštalátory Adobe Flash Playeru. To je v podstate najbežnejší spôsob, ako sa tvorcovia snažia presvedčiť používateľov, aby si do Macu nainštalovali malware. Štvrtá vzorka bola podpísaná vývojárskym účtom Mastura Fenny (2PVD64XRF3), ktorý bol v minulosti využitý pre stovky falošných inštalátorov Flashu. Všetky pritom spadajú pod adware OSX/Surfbuyer.
Zachytené vzorky zatiaľ nerobili nič iné, než že dočasne vytvorili textový súbor. Keďže boli aplikácie v diskových obrazoch dynamicky prepojené, bolo ľahké kedykoľvek zmeniť serverové umiestnenie. A to bez toho, aby bolo nutné distribuovaný malware upravovať. Je teda pravdepodobné, že tvorcovia po odskúšaní naprogramovali už „produkčné“ aplikácie s obsiahnutým malware. Ten už nemusel byť zachytený anti-malwarom VirusTotal.
Intego nahlásilo tento vývojársky účet Applu, aby mu bolo odobraté podpisové právo certifikátu.
Pre väčšiu bezpečnosť sa používateľom odporúča inštalovať aplikácie primárne z Mac App Store a pri inštalácii aplikácií z externých zdrojov premýšľať o ich pôvode.
Peter Škuta 
Amaya Tomanová 
Daniel Hruška 