Prieš tris mėnesius buvo aptiktas „Gatekeeper“ funkcijos pažeidžiamumas, kuris turėtų apsaugoti „macOS“ nuo potencialiai žalingos programinės įrangos. Neilgai trukus pasirodė pirmieji bandymai piktnaudžiauti.
Tačiau saugumo ekspertas Filippo Cavallarinas atskleidė problemą, susijusią su pačios programos parašo tikrinimu. Iš tiesų, autentiškumo patikrinimą tam tikru būdu galima visiškai apeiti.
Dabartinėje formoje „Gatekeeper“ išorinius diskus ir tinklo saugyklą laiko „saugiomis vietomis“. Tai reiškia, kad bet kuriai programai leidžiama paleisti šiose vietose be pakartotinio patikrinimo. Tokiu būdu vartotojas gali būti lengvai apgautas nesąmoningai prijungti bendrą diską arba saugyklą. Tada Gatekeeper lengvai apeina viską, kas yra tame aplanke.
Kitaip tariant, viena pasirašyta programa gali greitai atverti kelią daugeliui kitų, nepasirašytų. Cavallarinas pareigingai pranešė apie saugumo trūkumą Apple ir laukė 90 dienų atsakymo. Pasibaigus šiam laikotarpiui, jis turi teisę paskelbti klaidą, kurią galiausiai padarė. Niekas iš Cupertino į jo iniciatyvą neatsiliepė.
Pirmieji bandymai išnaudoti pažeidžiamumą veda prie DMG failų
Tuo tarpu saugos įmonė „Intego“ atskleidė bandymus išnaudoti būtent šį pažeidžiamumą. Praėjusios savaitės pabaigoje kenkėjiškų programų komanda atrado bandymą platinti kenkėjišką programą Cavallarin aprašytu metodu.
Iš pradžių aprašyta klaida naudojo ZIP failą. Kita vertus, nauja technika bando laimę su disko vaizdo failu.
Disko vaizdas buvo arba ISO 9660 formatu su .dmg plėtiniu, arba tiesiogiai Apple .dmg formatu. Paprastai ISO atvaizdas naudoja plėtinius .iso, .cdr, tačiau MacOS atveju .dmg („Apple Disk Image“) yra daug labiau paplitęs. Tai ne pirmas kartas, kai kenkėjiškos programos bando naudoti šiuos failus, matyt, siekdamos išvengti kenkėjiškų programų.
„Intego“ užfiksavo iš viso keturis skirtingus „VirusTotal“ pavyzdžius, užfiksuotus birželio 6 d. Skirtumas tarp atskirų išvadų buvo valandų tvarka ir visi jie buvo sujungti tinklo keliu su NFS serveriu.
OSX/Surfbuyer reklaminė programa, užmaskuota kaip „Adobe Flash Player“.
Ekspertams pavyko nustatyti, kad pavyzdžiai yra nepaprastai panašūs į OSX / Surfbuyer reklaminę programinę įrangą. Tai reklaminė kenkėjiška programa, kuri erzina vartotojus ne tik naršant internete.
Failai buvo užmaskuoti kaip „Adobe Flash Player“ diegimo programos. Iš esmės tai yra labiausiai paplitęs būdas kūrėjams įtikinti vartotojus įdiegti kenkėjiškas programas savo „Mac“. Ketvirtasis pavyzdys buvo pasirašytas kūrėjo paskyros „Mastura Fenny“ (2PVD64XRF3), kuri praeityje buvo naudojama šimtams netikrų „Flash“ diegimo programų. Jie visi patenka į OSX / Surfbuyer reklaminę programinę įrangą.
Iki šiol užfiksuoti pavyzdžiai nieko nedarė, tik laikinai sukūrė tekstinį failą. Kadangi programos buvo dinamiškai susietos disko vaizduose, bet kada buvo lengva pakeisti serverio vietą. Ir tai nereikia redaguoti platinamos kenkėjiškos programos. Todėl tikėtina, kad kūrėjai, atlikę testavimą, jau užprogramavo „gamybines“ programas, kuriose yra kenkėjiškų programų. Jos nebereikėjo sugauti „VirusTotal“ kovos su kenkėjiška programa.
„Intego“ pranešė apie šią kūrėjo paskyrą „Apple“, kad būtų atšaukta sertifikato pasirašymo teisė.
Siekiant didesnio saugumo, naudotojams patariama programas pirmiausia įdiegti iš „Mac App Store“ ir pagalvoti apie jų kilmę diegiant programas iš išorinių šaltinių.
Petras Škuta 
Amaya Toman 
Danielius Hruska 