Fyrir þremur mánuðum síðan uppgötvaðist varnarleysi í Gatekeeper aðgerðinni, sem á að vernda macOS fyrir hugsanlega skaðlegum hugbúnaði. Það leið ekki á löngu þar til fyrstu tilraunir til misnotkunar birtust.
Öryggissérfræðingurinn Filippo Cavallarin hefur hins vegar uppgötvað vandamál með undirskriftarathugun appsins sjálfs. Reyndar er hægt að komast algjörlega framhjá áreiðanleikaathuguninni á ákveðinn hátt.
Í núverandi mynd lítur Gatekeeper á ytri drif og netgeymslu sem „öruggar staðsetningar“. Þetta þýðir að hvaða forrit sem er er leyft að keyra á þessum stöðum án þess að athuga aftur. Þannig er auðvelt að blekkja notandann til að setja upp samnýtt drif eða geymslu óafvitandi. Allt í þeirri möppu er síðan auðveldlega framhjá af Gatekeeper.
Með öðrum orðum, eitt undirritað forrit getur fljótt opnað leið fyrir mörg önnur, óundirrituð. Cavallarin tilkynnti samviskusamlega öryggisgallann til Apple og beið síðan í 90 daga eftir svari. Eftir þetta tímabil á hann rétt á að birta villuna, sem hann gerði að lokum. Enginn frá Cupertino brást við framtaki hans.
Fyrstu tilraunir til að nýta sér varnarleysið leiða til DMG skráa
Á sama tíma hefur öryggisfyrirtækið Intego uppgötvað tilraunir til að nýta nákvæmlega þennan varnarleysi. Seint í síðustu viku uppgötvaði spilliforritið tilraun til að dreifa spilliforritinu með aðferðinni sem Cavallarin lýsti.
Villan sem upphaflega var lýst notaði ZIP skrá. Hin nýja tækni reynir aftur á móti heppnina með diskmyndaskrá.
Diskamyndin var annað hvort á ISO 9660 sniði með .dmg ending, eða beint á .dmg sniði frá Apple. Algengt er að ISO mynd notar viðbæturnar .iso, .cdr, en fyrir macOS er .dmg (Apple Disk Image) mun algengara. Það er ekki í fyrsta skipti sem spilliforrit reynir að nota þessar skrár, greinilega til að forðast spilliforrit.
Intego tók alls fjögur mismunandi sýni sem VirusTotal tók 6. júní. Munurinn á einstökum niðurstöðum var í röð klukkustunda og voru þær allar tengdar með netslóð við NFS netþjóninn.
OSX/Surfbuyer auglýsingaforrit dulbúinn sem Adobe Flash Player
Sérfræðingum tókst að komast að því að sýnin eru sláandi lík OSX/Surfbuyer auglýsingaforritinu. Þetta er adware malware sem pirrar notendur ekki aðeins á meðan þeir vafra um vefinn.
Skrárnar voru dulbúnar sem Adobe Flash Player uppsetningarforrit. Þetta er í grundvallaratriðum algengasta leiðin sem forritarar reyna að sannfæra notendur um að setja upp spilliforrit á Mac þeirra. Fjórða sýnishornið var undirritað af þróunarreikningnum Mastur Fenny (2PVD64XRF3), sem hefur verið notaður fyrir hundruð falsaðra Flash uppsetningarmanna í fortíðinni. Þeir falla allir undir OSX/Surfbuyer auglýsingaforrit.
Hingað til hafa tekin sýnin ekki gert neitt annað en að búa til textaskrá tímabundið. Vegna þess að forritin voru virkt tengd í diskamyndunum var auðvelt að breyta staðsetningu netþjónsins hvenær sem var. Og það án þess að þurfa að breyta dreifða spilliforritinu. Það er því líklegt að höfundarnir, eftir prófun, hafi þegar forritað „framleiðslu“ forrit með innifalinn spilliforrit. Það þurfti ekki lengur að grípa af VirusTotal gegn spilliforritum.
Intego tilkynnti þennan þróunarreikning til Apple til að fá vottorðsundirritunarheimild afturkallað.
Til að auka öryggi er notendum bent á að setja upp forrit fyrst og fremst úr Mac App Store og hugsa um uppruna þeirra þegar þeir setja upp forrit frá utanaðkomandi aðilum.
Petr Škuta 
Amaya Toman 
Daníel Hruska 