Πριν από τρεις μήνες, ανακαλύφθηκε μια ευπάθεια στη λειτουργία Gatekeeper, η οποία υποτίθεται ότι προστατεύει το macOS από δυνητικά επιβλαβές λογισμικό. Δεν άργησε να εμφανιστούν οι πρώτες απόπειρες κατάχρησης.
Ωστόσο, ο ειδικός ασφαλείας Filippo Cavallarin αποκάλυψε ένα πρόβλημα με τον έλεγχο υπογραφής της ίδιας της εφαρμογής. Πράγματι, ο έλεγχος γνησιότητας μπορεί να παρακαμφθεί πλήρως με συγκεκριμένο τρόπο.
Στην τρέχουσα μορφή του, το Gatekeeper θεωρεί τις εξωτερικές μονάδες δίσκου και την αποθήκευση δικτύου ως "ασφαλείς τοποθεσίες". Αυτό σημαίνει ότι επιτρέπει σε οποιαδήποτε εφαρμογή να εκτελείται σε αυτές τις τοποθεσίες χωρίς να το ελέγξει ξανά. Οτιδήποτε σε αυτόν τον φάκελο παρακάμπτεται εύκολα από το Gatekeeper.
Με άλλα λόγια, μια μόνο υπογεγραμμένη εφαρμογή μπορεί να ανοίξει γρήγορα το δρόμο για πολλές άλλες, ανυπόγραφες. Ο Cavallarin ανέφερε ευσυνείδητα το ελάττωμα ασφαλείας στην Apple και στη συνέχεια περίμενε 90 ημέρες για απάντηση. Μετά από αυτό το διάστημα, δικαιούται να δημοσιεύσει το λάθος, κάτι που τελικά έκανε. Κανείς από το Κουπερτίνο δεν ανταποκρίθηκε στην πρωτοβουλία του.
Οι πρώτες προσπάθειες εκμετάλλευσης της ευπάθειας οδηγούν σε αρχεία DMG
Εν τω μεταξύ, η εταιρεία ασφαλείας Intego έχει αποκαλύψει προσπάθειες να εκμεταλλευτεί ακριβώς αυτή την ευπάθεια. Στα τέλη της περασμένης εβδομάδας, η ομάδα κακόβουλου λογισμικού ανακάλυψε μια προσπάθεια διανομής του κακόβουλου λογισμικού χρησιμοποιώντας τη μέθοδο που περιγράφεται από τον Cavallarin.
Το σφάλμα που περιγράφηκε αρχικά χρησιμοποιούσε ένα αρχείο ZIP. Η νέα τεχνική, από την άλλη, δοκιμάζει την τύχη της με ένα αρχείο εικόνας δίσκου.
Η εικόνα του δίσκου ήταν είτε σε μορφή ISO 9660 με επέκταση .dmg, είτε απευθείας σε μορφή .dmg της Apple. Συνήθως, μια εικόνα ISO χρησιμοποιεί τις επεκτάσεις .iso, .cdr, αλλά για macOS, το .dmg (Apple Disk Image) είναι πολύ πιο συνηθισμένο. Δεν είναι η πρώτη φορά που κακόβουλο λογισμικό προσπαθεί να χρησιμοποιήσει αυτά τα αρχεία, προφανώς για να αποφύγει προγράμματα κατά του κακόβουλου λογισμικού.
Το Intego κατέγραψε συνολικά τέσσερα διαφορετικά δείγματα που καταγράφηκαν από το VirusTotal στις 6 Ιουνίου. Η διαφορά μεταξύ των επιμέρους ευρημάτων ήταν κατά τη σειρά των ωρών και όλα συνδέθηκαν μέσω μιας διαδρομής δικτύου στον διακομιστή NFS.
Adware OSX/Surfbuyer μεταμφιεσμένο σε Adobe Flash Player
Οι ειδικοί κατάφεραν να βρουν ότι τα δείγματα μοιάζουν εντυπωσιακά με το adware OSX/Surfbuyer. Πρόκειται για κακόβουλο λογισμικό adware που ενοχλεί τους χρήστες όχι μόνο κατά την περιήγηση στον Ιστό.
Τα αρχεία ήταν μεταμφιεσμένα ως προγράμματα εγκατάστασης του Adobe Flash Player. Αυτός είναι βασικά ο πιο συνηθισμένος τρόπος με τον οποίο οι προγραμματιστές προσπαθούν να πείσουν τους χρήστες να εγκαταστήσουν κακόβουλο λογισμικό στο Mac τους. Το τέταρτο δείγμα υπογράφηκε από τον λογαριασμό προγραμματιστή Mastura Fenny (2PVD64XRF3), ο οποίος έχει χρησιμοποιηθεί για εκατοντάδες πλαστά προγράμματα εγκατάστασης Flash στο παρελθόν. Όλα εμπίπτουν στο OSX/Surfbuyer adware.
Μέχρι στιγμής, τα δείγματα που έχουν συλληφθεί δεν έχουν κάνει τίποτα άλλο από το να δημιουργήσουν προσωρινά ένα αρχείο κειμένου. Επειδή οι εφαρμογές ήταν δυναμικά συνδεδεμένες στις εικόνες του δίσκου, ήταν εύκολο να αλλάξετε τη θέση του διακομιστή ανά πάσα στιγμή. Και αυτό χωρίς να χρειάζεται να επεξεργαστείτε το διανεμημένο κακόβουλο λογισμικό. Είναι λοιπόν πιθανό οι δημιουργοί, μετά από δοκιμές, να έχουν ήδη προγραμματίσει εφαρμογές «παραγωγής» με περιεχόμενο κακόβουλο λογισμικό. Δεν έπρεπε πλέον να συλλαμβάνεται από το λογισμικό προστασίας από κακόβουλο λογισμικό VirusTotal.
Η Intego ανέφερε αυτόν τον λογαριασμό προγραμματιστή στην Apple για ανάκληση της αρχής υπογραφής πιστοποιητικών.
Για πρόσθετη ασφάλεια, συνιστάται στους χρήστες να εγκαθιστούν εφαρμογές κυρίως από το Mac App Store και να σκέφτονται την προέλευσή τους κατά την εγκατάσταση εφαρμογών από εξωτερικές πηγές.
Petr Škuta 
Amaya Toman 
Ντάνιελ Χρούσκα 