Drie maande gelede is 'n kwesbaarheid in die Gatekeeper-funksie ontdek, wat veronderstel is om macOS te beskerm teen potensieel skadelike sagteware. Dit het nie lank geduur voordat die eerste pogings tot mishandeling verskyn het nie.
Sekuriteitskenner Filippo Cavallarin het egter 'n probleem met die toepassing se handtekeningkontrole self ontdek. Inderdaad, die egtheidkontrole kan op 'n sekere manier heeltemal omseil word.
In sy huidige vorm beskou Gatekeeper eksterne aandrywers en netwerkberging as "veilige liggings". Dit beteken dat dit enige toepassing in hierdie liggings laat loop sonder om weer na te gaan. Op hierdie manier kan die gebruiker maklik mislei word om onwetend 'n gedeelde skyf of berging te monteer. Enigiets in daardie vouer word dan maklik deur Gatekeeper omseil.
Met ander woorde, 'n enkele ondertekende aansoek kan vinnig die weg oopmaak vir baie ander, ongetekende. Cavallarin het die sekuriteitsfout pligsgetrou aan Apple aangemeld en toe 90 dae gewag vir 'n antwoord. Na hierdie tydperk is hy geregtig om die fout te publiseer, wat hy uiteindelik gedoen het. Niemand van Cupertino het op sy inisiatief gereageer nie.
Die eerste pogings om die kwesbaarheid uit te buit lei tot DMG-lêers
Intussen het die sekuriteitsfirma Intego pogings ontbloot om presies hierdie kwesbaarheid uit te buit. Laat verlede week het die wanware-span 'n poging ontdek om die wanware te versprei met behulp van die metode wat deur Cavallarin beskryf word.
Die fout wat oorspronklik beskryf is, het 'n zip-lêer gebruik. Die nuwe tegniek, aan die ander kant, probeer sy geluk met 'n skyfbeeldlêer.
Die skyfbeeld was óf in ISO 9660-formaat met 'n .dmg-uitbreiding, óf direk in Apple se .dmg-formaat. Gewoonlik gebruik 'n ISO-beeld die uitbreidings .iso, .cdr, maar vir macOS is .dmg (Apple Disk Image) baie meer algemeen. Dit is nie die eerste keer dat wanware hierdie lêers probeer gebruik nie, blykbaar om teen-wanware-programme te vermy.
Intego het op 6 Junie 'n totaal van vier verskillende monsters vasgelê wat deur VirusTotal vasgelê is. Die verskil tussen die individuele bevindings was in die orde van ure, en hulle was almal verbind deur 'n netwerkpad na die NFS-bediener.
OSX/Surfbuyer reklameware vermom as Adobe Flash Player
Kenners het daarin geslaag om te vind dat die monsters opvallend soortgelyk is aan die OSX/Surfbuyer reklameware. Dit is reklameware-wanware wat gebruikers irriteer nie net terwyl hulle op die web blaai nie.
Die lêers is vermom as Adobe Flash Player-installeerders. Dit is basies die mees algemene manier waarop ontwikkelaars probeer om gebruikers te oortuig om wanware op hul Mac te installeer. Die vierde voorbeeld is onderteken deur die ontwikkelaarrekening Mastura Fenny (2PVD64XRF3), wat in die verlede vir honderde vals Flash-installeerders gebruik is. Hulle val almal onder OSX/Surfbuyer reklameware.
Tot dusver het die vasgelegde monsters niks anders gedoen as om tydelik 'n tekslêer te skep nie. Omdat die toepassings dinamies in die skyfbeelde gekoppel is, was dit maklik om die bedienerligging te eniger tyd te verander. En dit sonder om die verspreide wanware te wysig. Dit is dus waarskynlik dat die skeppers, na toetsing, reeds "produksie" toepassings met vervatte wanware geprogrammeer het. Dit hoef nie meer deur die VirusTotal-teen-wanware gevang te word nie.
Intego het hierdie ontwikkelaarrekening by Apple aangemeld om die magtiging vir die ondertekening van sertifikaat te laat herroep.
Vir ekstra sekuriteit word gebruikers aangeraai om programme hoofsaaklik vanaf die Mac App Store te installeer en om na te dink oor hul oorsprong wanneer hulle programme vanaf eksterne bronne installeer.
Petr Škuta 
Amaya Toman 
Daniel Hruska 