For tre måneder siden ble det oppdaget en sårbarhet i Gatekeeper-funksjonen, som skal beskytte macOS mot potensielt skadelig programvare. Det tok ikke lang tid før de første forsøkene på overgrep dukket opp.
Sikkerhetsekspert Filippo Cavallarin har imidlertid avdekket et problem med selve appens signatursjekk. Faktisk kan ekthetskontrollen omgås fullstendig på en bestemt måte.
I sin nåværende form betrakter Gatekeeper eksterne stasjoner og nettverkslagring som "sikre steder". Dette betyr at alle applikasjoner vil få lov til å kjøre på disse stedene uten å sjekke på nytt.På denne måten kan brukeren enkelt lures til ubevisst å montere en delt stasjon eller lagring. Alt i den mappen omgås deretter enkelt av Gatekeeper.
Med andre ord kan en enkelt signert søknad raskt åpne veien for mange andre, usignerte. Cavallarin rapporterte pliktoppfyllende sikkerhetsfeilen til Apple og ventet deretter 90 dager på svar. Etter denne perioden har han rett til å offentliggjøre feilen, noe han til slutt gjorde. Ingen fra Cupertino reagerte på hans initiativ.
De første forsøkene på å utnytte sårbarheten fører til DMG-filer
I mellomtiden har sikkerhetsfirmaet Intego avdekket forsøk på å utnytte akkurat denne sårbarheten. Sent i forrige uke oppdaget skadevareteamet et forsøk på å distribuere skadelig programvare ved å bruke metoden beskrevet av Cavallarin.
Feilen som opprinnelig ble beskrevet brukte en ZIP-fil. Den nye teknikken prøver derimot lykken med en diskbildefil.
Diskbildet var enten i ISO 9660-format med en .dmg-utvidelse, eller direkte i Apples .dmg-format. Vanligvis bruker et ISO-bilde utvidelsene .iso, .cdr, men for macOS er .dmg (Apple Disk Image) mye mer vanlig. Det er ikke første gang skadelig programvare prøver å bruke disse filene, tilsynelatende for å unngå anti-malware-programmer.
Intego fanget totalt fire forskjellige prøver fanget av VirusTotal 6. juni. Forskjellen mellom de enkelte funnene var i størrelsesorden timer, og de var alle koblet med en nettverkssti til NFS-serveren.
OSX/Surfbuyer adware forkledd som Adobe Flash Player
Eksperter klarte å finne at prøvene er slående like OSX/Surfbuyer-annonsevaren. Dette er adware malware som irriterer brukere ikke bare når de surfer på nettet.
Filene var forkledd som Adobe Flash Player-installatører. Dette er i utgangspunktet den vanligste måten utviklere prøver å overbevise brukere om å installere skadelig programvare på Mac-en. Den fjerde prøven ble signert av utviklerkontoen Mastura Fenny (2PVD64XRF3), som har blitt brukt til hundrevis av falske Flash-installatører tidligere. De faller alle inn under OSX/Surfbuyer adware.
Så langt har de fangede prøvene ikke gjort annet enn å opprette en tekstfil midlertidig. Fordi applikasjonene var dynamisk koblet i diskbildene, var det enkelt å endre serverplassering når som helst. Og det uten å måtte redigere den distribuerte skadevare. Det er derfor sannsynlig at skaperne, etter testing, allerede har programmert "produksjons"-applikasjoner med inneholdt skadelig programvare. Det måtte ikke lenger fanges opp av VirusTotal anti-malware.
Intego rapporterte denne utviklerkontoen til Apple for å få sin sertifikatsigneringsautoritet tilbakekalt.
For økt sikkerhet anbefales brukere å installere apper primært fra Mac App Store og tenke på opprinnelsen deres når de installerer apper fra eksterne kilder.
Petr Škuta 
Amaya Toman 
Daniel Hruska 