For tre måneder siden blev der opdaget en sårbarhed i Gatekeeper-funktionen, som skal beskytte macOS mod potentielt skadelig software. Det varede ikke længe, før de første forsøg på misbrug dukkede op.
Sikkerhedsekspert Filippo Cavallarin har dog afsløret et problem med selve appens signaturtjek. Faktisk kan ægthedskontrollen helt omgås på en bestemt måde.
I sin nuværende form betragter Gatekeeper eksterne drev og netværkslagring som "sikre steder". Det betyder, at det tillader enhver applikation at køre på disse steder uden at tjekke igen.På denne måde kan brugeren nemt narre til ubevidst at montere et delt drev eller lager. Alt i den mappe bliver så let omgået af Gatekeeper.
Med andre ord kan en enkelt underskrevet ansøgning hurtigt åbne vejen for mange andre, usignerede. Cavallarin rapporterede pligtskyldigt sikkerhedsfejlen til Apple og ventede derefter 90 dage på et svar. Efter denne periode er han berettiget til at offentliggøre fejlen, hvilket han til sidst gjorde. Ingen fra Cupertino reagerede på hans initiativ.
De første forsøg på at udnytte sårbarheden fører til DMG-filer
I mellemtiden har sikkerhedsfirmaet Intego afsløret forsøg på at udnytte netop denne sårbarhed. I slutningen af sidste uge opdagede malware-teamet et forsøg på at distribuere malwaren ved hjælp af metoden beskrevet af Cavallarin.
Den oprindeligt beskrevne fejl brugte en ZIP-fil. Den nye teknik prøver på den anden side lykken med en diskimage-fil.
Diskbilledet var enten i ISO 9660-format med en .dmg-udvidelse eller direkte i Apples .dmg-format. Normalt bruger et ISO-billede udvidelserne .iso, .cdr, men for macOS er .dmg (Apple Disk Image) meget mere almindeligt. Det er ikke første gang, at malware forsøger at bruge disse filer, tilsyneladende for at undgå anti-malware-programmer.
Intego fangede i alt fire forskellige prøver fanget af VirusTotal den 6. juni. Forskellen mellem de enkelte fund var i størrelsesordenen timer, og de var alle forbundet med en netværkssti til NFS-serveren.
OSX/Surfbuyer adware forklædt som Adobe Flash Player
Eksperter formåede at finde ud af, at prøverne er slående ens OSX/Surfbuyer adware. Dette er adware-malware, der irriterer brugere, ikke kun når de surfer på nettet.
Filerne var forklædt som Adobe Flash Player-installationsprogrammer. Dette er dybest set den mest almindelige måde, udviklere forsøger at overbevise brugere om at installere malware på deres Mac. Den fjerde prøve blev underskrevet af udviklerkontoen Mastura Fenny (2PVD64XRF3), som tidligere er blevet brugt til hundredvis af falske Flash-installatører. De falder alle ind under OSX/Surfbuyer adware.
Indtil videre har de fangede prøver ikke gjort andet end midlertidigt at oprette en tekstfil. Fordi applikationerne var dynamisk forbundet i diskbillederne, var det nemt at ændre serverplaceringen til enhver tid. Og det uden at skulle redigere den distribuerede malware. Det er derfor sandsynligt, at skaberne efter test allerede har programmeret "produktions"-applikationer med indeholdt malware. Det behøvede ikke længere at blive fanget af VirusTotal anti-malware.
Intego rapporterede denne udviklerkonto til Apple for at få sin certifikatsigneringsautoritet tilbagekaldt.
For at øge sikkerheden rådes brugerne til primært at installere apps fra Mac App Store og tænke på deres oprindelse, når de installerer apps fra eksterne kilder.
Petr Škuta 
Amaya Toman 
Daniel Hruska 