Tatlong buwan na ang nakalilipas, natuklasan ang isang kahinaan sa Gatekeeper function, na dapat na protektahan ang macOS mula sa potensyal na mapaminsalang software. Hindi nagtagal at lumitaw ang mga unang pagtatangka sa pang-aabuso.
Ang Gatekeeper ay idinisenyo upang kontrolin ang mga Mac application. Software na hindi nilagdaan ng Apple ito ay minarkahan bilang potensyal na mapanganib ng system at nangangailangan ng karagdagang pahintulot ng user bago i-install.
Gayunpaman, natuklasan ng eksperto sa seguridad na si Filippo Cavallarin ang isang problema sa mismong signature check ng app. Sa katunayan, ang pagsusuri sa pagiging tunay ay maaaring ganap na ma-bypass sa isang tiyak na paraan.
Sa kasalukuyang anyo nito, isinasaalang-alang ng Gatekeeper ang mga panlabas na drive at imbakan ng network bilang "mga secure na lokasyon". Nangangahulugan ito na pinapayagan nito ang anumang application na tumakbo sa mga lokasyong ito nang hindi muling sinusuri. Sa ganitong paraan, madaling malinlang ang user sa hindi sinasadyang pag-mount ng shared drive o storage. Ang anumang bagay sa folder na iyon ay madaling ma-bypass ng Gatekeeper.
Sa madaling salita, ang isang solong nilagdaang aplikasyon ay maaaring mabilis na magbukas ng daan para sa marami pang iba, hindi pa nalagdaan. Masunuring iniulat ni Cavallarin ang kakulangan sa seguridad sa Apple at pagkatapos ay naghintay ng 90 araw para sa tugon. Pagkatapos ng panahong ito, siya ay may karapatan na i-publish ang error, na sa kalaunan ay ginawa niya. Walang sinuman mula sa Cupertino ang tumugon sa kanyang inisyatiba.
Ang mga unang pagtatangka na pagsamantalahan ang kahinaan ay humantong sa mga DMG file
Samantala, natuklasan ng kumpanya ng seguridad na Intego ang mga pagtatangka na pagsamantalahan nang eksakto ang kahinaang ito. Noong nakaraang linggo, natuklasan ng pangkat ng malware ang isang pagtatangka na ipamahagi ang malware gamit ang paraang inilarawan ni Cavallarin.
Ang bug na orihinal na inilarawan ay gumamit ng ZIP file. Ang bagong pamamaraan, sa kabilang banda, ay sumusubok sa swerte nito sa isang file ng imahe ng disk.
Ang disk image ay nasa ISO 9660 na format na may .dmg extension, o direkta sa .dmg na format ng Apple. Karaniwan, ang isang ISO na imahe ay gumagamit ng mga extension na .iso, .cdr, ngunit para sa macOS, ang .dmg (Apple Disk Image) ay mas karaniwan. Hindi ito ang unang pagkakataon na sinubukan ng malware na gamitin ang mga file na ito, tila upang maiwasan ang mga anti-malware program.
Nakuha ng Intego ang kabuuang apat na magkakaibang sample na nakunan ng VirusTotal noong ika-6 ng Hunyo. Ang pagkakaiba sa pagitan ng mga indibidwal na natuklasan ay nasa pagkakasunud-sunod ng mga oras, at lahat sila ay konektado sa pamamagitan ng isang landas ng network sa NFS server.
OSX/Surfbuyer adware na itinago bilang Adobe Flash Player
Nahanap ng mga eksperto na ang mga sample ay kapansin-pansing katulad ng OSX/Surfbuyer adware. Ito ay adware malware na nakakainis sa mga user hindi lamang habang nagba-browse sa web.
Ang mga file ay itinago bilang mga installer ng Adobe Flash Player. Ito talaga ang pinakakaraniwang paraan na sinusubukan ng mga developer na kumbinsihin ang mga user na mag-install ng malware sa kanilang Mac. Ang ikaapat na sample ay nilagdaan ng developer account na Mastura Fenny (2PVD64XRF3), na ginamit para sa daan-daang pekeng Flash installer sa nakaraan. Lahat sila ay nasa ilalim ng OSX/Surfbuyer adware.
Sa ngayon, ang mga nakuhang sample ay walang ginawa kundi pansamantalang gumawa ng text file. Dahil ang mga application ay dynamic na naka-link sa mga imahe ng disk, madaling baguhin ang lokasyon ng server anumang oras. At iyon nang hindi kinakailangang i-edit ang ipinamahagi na malware. Samakatuwid, malamang na ang mga tagalikha, pagkatapos ng pagsubok, ay nakapagprogram na ng mga "produksyon" na mga application na may naglalaman ng malware. Hindi na ito kailangang mahuli ng VirusTotal anti-malware.
Iniulat ng Intego ang developer account na ito sa Apple upang mapawalang-bisa ang awtoridad nito sa pagpirma ng certificate.
Para sa karagdagang seguridad, pinapayuhan ang mga user na mag-install ng mga app pangunahin mula sa Mac App Store at pag-isipan ang kanilang pinagmulan kapag nag-i-install ng mga app mula sa mga panlabas na mapagkukunan.
Petr Škuta 
Amaya Toman 
Daniel Hruska 