Pred tremi meseci so odkrili ranljivost v funkciji Gatekeeper, ki naj bi macOS zaščitila pred potencialno škodljivo programsko opremo. Ni trajalo dolgo, da so se pojavili prvi poskusi zlorab.
Gatekeeper je zasnovan za nadzor aplikacij Mac. Programska oprema, ki je ne podpisuje Apple nato ga sistem označi kot potencialno nevarnega in pred namestitvijo zahteva dodatno uporabniško dovoljenje.
Vendar je varnostni strokovnjak Filippo Cavallarin odkril težavo s samim preverjanjem podpisa aplikacije. Preverjanje pristnosti je namreč mogoče na določen način popolnoma zaobiti.
V svoji trenutni obliki Gatekeeper obravnava zunanje diske in omrežno shranjevanje kot "varne lokacije". To pomeni, da omogoča zagon katere koli aplikacije na teh lokacijah brez ponovnega preverjanja. Na ta način je uporabnika mogoče zlahka pretentati, da nevede priklopi skupni disk ali shrambo. Karkoli v tej mapi Gatekeeper zlahka zaobide.
Z drugimi besedami, ena sama podpisana aplikacija lahko hitro odpre pot številnim drugim, nepodpisanim. Cavallarin je Appleu vestno prijavil varnostno napako in nato čakal 90 dni na odgovor. Po tem roku ima pravico napako objaviti, kar je na koncu tudi storil. Nihče iz Cupertina se na njegovo pobudo ni odzval.
Prvi poskusi izkoriščanja ranljivosti vodijo do datotek DMG
Medtem je varnostno podjetje Intego odkrilo poskuse izkoriščanja točno te ranljivosti. Konec prejšnjega tedna je skupina za zlonamerno programsko opremo odkrila poskus distribucije zlonamerne programske opreme z metodo, ki jo je opisal Cavallarin.
Prvotno opisana napaka je uporabljala datoteko ZIP. Nova tehnika po drugi strani poskuša srečo s slikovno datoteko diska.
Slika diska je bila v formatu ISO 9660 s pripono .dmg ali neposredno v Applovem formatu .dmg. Običajno ISO slika uporablja končnice .iso, .cdr, vendar je za macOS veliko pogostejša .dmg (Apple Disk Image). Ni prvič, da zlonamerna programska oprema poskuša uporabiti te datoteke, očitno zato, da bi se izognila programom proti zlonamerni programski opremi.
Intego je zajel skupaj štiri različne vzorce, ki jih je 6. junija zajel VirusTotal. Razlika med posameznimi ugotovitvami je bila v vrstnem redu ur, vse pa so bile povezane z omrežno potjo do strežnika NFS.
Oglaševalska programska oprema OSX/Surfbuyer, preoblečena v Adobe Flash Player
Strokovnjakom je uspelo ugotoviti, da so vzorci presenetljivo podobni oglaševalski programski opremi OSX/Surfbuyer. To je zlonamerna programska oprema, ki uporabnike moti ne samo med brskanjem po spletu.
Datoteke so bile prikrite kot namestitveni program Adobe Flash Player. To je v bistvu najpogostejši način, na katerega razvijalci poskušajo prepričati uporabnike, da na svoj Mac namestijo zlonamerno programsko opremo. Četrti vzorec je podpisal račun razvijalca Mastura Fenny (2PVD64XRF3), ki je bil v preteklosti uporabljen za stotine lažnih namestitvenih programov Flash. Vsi spadajo pod oglaševalsko programsko opremo OSX/Surfbuyer.
Doslej zajeti vzorci niso naredili nič drugega kot začasno ustvarili besedilno datoteko. Ker so bile aplikacije dinamično povezane v slikah diskov, je bilo enostavno kadar koli spremeniti lokacijo strežnika. In to brez urejanja distribuirane zlonamerne programske opreme. Zato je verjetno, da so ustvarjalci po testiranju že programirali "produkcijske" aplikacije z vsebovano zlonamerno programsko opremo. Ni ga več bilo treba ujeti proti zlonamerni programski opremi VirusTotal.
Intego je ta račun razvijalca prijavil podjetju Apple, da bi preklical njegovo pooblastilo za podpisovanje potrdil.
Za dodatno varnost uporabnikom svetujemo, da nameščajo aplikacije predvsem iz trgovine Mac App Store in da pri nameščanju aplikacij iz zunanjih virov pomislijo na njihov izvor.
Petru Škuti 
Amaja Toman 
Daniel Hruška 