Három hónappal ezelőtt egy sebezhetőséget fedeztek fel a Gatekeeper funkcióban, amely állítólag megvédi a macOS-t a potenciálisan káros szoftverektől. Nem telt bele sok idő, hogy megjelenjenek az első visszaélési kísérletek.
Filippo Cavallarin biztonsági szakértő azonban feltárt egy problémát magával az alkalmazás aláírás-ellenőrzésével. Valójában az eredetiség-ellenőrzés bizonyos módon teljesen megkerülhető.
Jelenlegi formájában a Gatekeeper a külső meghajtókat és a hálózati tárolókat "biztonságos helynek" tekinti. Ez azt jelenti, hogy minden alkalmazás futtatható ezeken a helyeken anélkül, hogy újra ellenőrizné, így a felhasználó könnyen rávehető, hogy tudtán kívül csatoljon megosztott meghajtót vagy tárhelyet. Ezután a Gatekeeper könnyedén megkerül mindent, ami ebben a mappában található.
Más szóval, egyetlen aláírt alkalmazás gyorsan megnyithatja az utat sok más, aláíratlan alkalmazás előtt. Cavallarin kötelességtudóan jelentette a biztonsági hibát az Apple-nek, majd 90 napot várt a válaszra. Ezen időszak után jogosult a hibát közzétenni, amit végül meg is tett. A cupertinóiak közül senki nem reagált kezdeményezésére.
A biztonsági rés kihasználására tett első kísérletek DMG-fájlokhoz vezetnek
Eközben az Intego biztonsági cég pontosan ezt a biztonsági rést próbálta kihasználni. A múlt hét végén a malware csapat felfedezte, hogy a Cavallarin által leírt módszerrel próbálták terjeszteni a kártevőt.
Az eredetileg leírt hiba ZIP fájlt használt. Az új technika viszont lemezképfájllal próbál szerencsét.
A lemezkép vagy ISO 9660 formátumban volt .dmg kiterjesztéssel, vagy közvetlenül az Apple .dmg formátumában. Az ISO-lemezképek általában az .iso, .cdr kiterjesztést használják, de macOS esetén a .dmg (Apple Disk Image) sokkal gyakoribb. Nem ez az első alkalom, hogy rosszindulatú programok megpróbálják használni ezeket a fájlokat, nyilvánvalóan azért, hogy elkerüljék a rosszindulatú programokat.
Az Intego összesen négy különböző mintát rögzített a VirusTotal június 6-án. Az egyes leletek között óra nagyságrendű volt a különbség, és mindegyik hálózati úton volt összekötve az NFS szerverrel.
A szakértőknek sikerült megállapítaniuk, hogy a minták feltűnően hasonlítanak az OSX/Surfbuyer adware-hez. Ez egy rosszindulatú reklámprogram, amely nem csak az interneten való böngészés közben bosszantja a felhasználókat.
A fájlok Adobe Flash Player telepítőnek voltak álcázva. Alapvetően ez a leggyakoribb módja a fejlesztőknek, hogy meggyőzzék a felhasználókat, hogy telepítsenek rosszindulatú programokat a Mac-re. A negyedik mintát a Mastura Fenny (2PVD64XRF3) fejlesztői fiók írta alá, amelyet korábban több száz hamis Flash telepítőnél használtak. Mindegyik OSX/Surfbuyer adware alá tartozik.
Eddig a rögzített minták nem csináltak mást, mint ideiglenesen létrehoztak egy szöveges fájlt. Mivel az alkalmazások dinamikusan összekapcsolódtak a lemezképekben, a szerver helyét bármikor könnyen lehetett változtatni. És mindezt anélkül, hogy szerkeszteni kellene a terjesztett kártevőket. Valószínű tehát, hogy a készítők a tesztelést követően már beprogramozták a rosszindulatú programokat tartalmazó "gyártási" alkalmazásokat. A VirusTotal kártevőirtónak már nem kellett elkapnia.
Az Intego bejelentette ezt a fejlesztői fiókot az Apple-nek, hogy vonják vissza a tanúsítvány-aláíró jogosultságát.
A nagyobb biztonság érdekében a felhasználóknak azt tanácsoljuk, hogy elsősorban a Mac App Store-ból telepítsenek alkalmazásokat, és a külső forrásból származó alkalmazások telepítésekor gondolják át azok eredetét.
Petr Škuta 
Amaya Toman 
Daniel Hruska 