Tliet xhur ilu, ġiet skoperta vulnerabbiltà fil-funzjoni Gatekeeper, li suppost tipproteġi macOS minn softwer potenzjalment ta 'ħsara. Ma tantx damu biex dehru l-ewwel tentattivi ta’ abbuż.
Madankollu, l-espert tas-sigurtà Filippo Cavallarin skopra problema bil-kontroll tal-firma tal-app innifsu. Tabilħaqq, il-verifika tal-awtentiċità tista 'tiġi evitata kompletament b'ċertu mod.
Fil-forma attwali tiegħu, Gatekeeper iqis drives esterni u ħażna tan-netwerk bħala "postijiet sikuri". Dan ifisser li jippermetti li kwalunkwe applikazzjoni taħdem f'dawn il-postijiet mingħajr ma terġa 'tiċċekkja.Dan il-mod, l-utent jista' faċilment jiġi mqarraq biex bla ma jkun jaf iwaħħal drive jew ħażna kondiviża. Kwalunkwe ħaġa f'dak il-folder imbagħad faċilment jinqabeż minn Gatekeeper.
Fi kliem ieħor, applikazzjoni waħda ffirmata tista 'malajr tiftaħ it-triq għal ħafna oħrajn, mhux iffirmati. Cavallarin irrapporta b'mod obbligatorju d-difett tas-sigurtà lil Apple u mbagħad stenna 90 jum għal tweġiba. Wara dan il-perjodu, huwa intitolat li jippubblika l-iżball, li eventwalment għamel. Ħadd minn Cupertino ma wieġeb għall-inizjattiva tiegħu.
L-ewwel tentattivi biex tisfrutta l-vulnerabbiltà jwasslu għal fajls DMG
Sadanittant, id-ditta tas-sigurtà Intego kixfet tentattivi biex tisfrutta eżattament din il-vulnerabbiltà. Tard il-ġimgħa li għaddiet, it-tim tal-malware skopra tentattiv biex iqassam il-malware bl-użu tal-metodu deskritt minn Cavallarin.
Il-bug deskritt oriġinarjament uża fajl ZIP. It-teknika l-ġdida, min-naħa l-oħra, tipprova xortih b'fajl tal-immaġni tad-diska.
L-immaġni tad-diska kienet jew f'format ISO 9660 b'estensjoni .dmg, jew direttament fil-format .dmg ta' Apple. Komunement, immaġni ISO tuża l-estensjonijiet .iso, .cdr, iżda għal macOS, .dmg (Apple Disk Image) hija ħafna aktar komuni. Mhux l-ewwel darba li l-malware jipprova juża dawn il-fajls, apparentement biex jevita programmi kontra l-malware.
Intego qabad total ta 'erba' kampjuni differenti maqbuda minn VirusTotal fis-6 ta 'Ġunju. Id-differenza bejn is-sejbiet individwali kienet fl-ordni tas-sigħat, u kienu kollha konnessi permezz ta 'mogħdija tan-netwerk mas-server NFS.
Adware OSX/Surfbuyer moħbi bħala Adobe Flash Player
L-esperti rnexxielhom isibu li l-kampjuni huma simili ħafna għall-adware OSX/Surfbuyer. Dan huwa adware malware li jdejjaq lill-utenti mhux biss waqt li jibbrawżjaw il-web.
Il-fajls kienu moħbija bħala installaturi tal-Adobe Flash Player. Dan huwa bażikament l-aktar mod komuni li l-iżviluppaturi jippruvaw jikkonvinċu lill-utenti biex jinstallaw malware fuq il-Mac tagħhom. Ir-raba 'kampjun ġie ffirmat mill-kont tal-iżviluppatur Mastura Fenny (2PVD64XRF3), li ntuża għal mijiet ta' installaturi ta 'Flash foloz fil-passat. Dawn kollha jaqgħu taħt OSX/Surfbuyer adware.
S'issa, il-kampjuni maqbuda ma għamlu xejn ħlief temporanjament ħolqu fajl test. Minħabba li l-applikazzjonijiet kienu marbuta b'mod dinamiku fl-immaġini tad-diska, kien faċli li tinbidel il-post tas-server fi kwalunkwe ħin. U dan mingħajr ma jkollok bżonn teditja l-malware distribwit. Huwa għalhekk probabbli li l-ħallieqa, wara l-ittestjar, diġà pprogrammaw applikazzjonijiet ta '"produzzjoni" b'malware kontenut. Ma kellux għalfejn jinqabad mill-anti-malware VirusTotal.
Intego irrapporta dan il-kont tal-iżviluppatur lil Apple biex l-awtorità tal-iffirmar taċ-ċertifikati tagħha tiġi revokata.
Għal aktar sigurtà, l-utenti huma avżati biex jinstallaw apps primarjament mill-Mac App Store u biex jaħsbu dwar l-oriġini tagħhom meta jinstallaw apps minn sorsi esterni.
Petr Škuta 
Amaya Toman 
Daniel Hruska 