Tři měsíce zpátky byla objevena zranitelnost ve funkci Gatekeeper, která má macOS chránit před potenciálně škodlivým software. Netrvalo dlouho a objevily se první pokusy o zneužití.
Gatekeeper je navržený tak, aby kontroloval aplikace pro Mac. Software, který není podepsaný Applem je pak systémem označen jako potenciálně nebezpečný a vyžaduje dodatečné povolení uživatele před instalací.
Bezpečnostní odborník Filippo Cavallarin však odhalil problém týkající se samotné kontroly podpisu aplikace. Kontrola pravosti totiž může být určitým způsobem zcela obejita.
Ve své současné podobě považuje Gatekeeper externí disky a síťová úložiště za „bezpečná umístění“. To znamená, že dovolí se spustit jakékoli aplikaci v těchto umístěních bez opětovné kontroly.Uživatel tak může být jednoduše oklamán a nevědomky připojit sdílený disk nebo úložiště. Cokoli v dané složce pak snadno obejde Gatekeeper.
Jinými slovy jediná podepsaná aplikace může rychle otevřít cestu mnoha dalším, nepodepsaným. Cavallarin svědomitě bezpečnostní chybu nahlásil Applu a poté čekal 90 dní na odpověď. Po této lhůtě je oprávněn chybu zveřejnit, což nakonec udělal. Nikdo z Cupertina totiž na jeho podnět nereagoval.
První pokusy o zneužití zranitelnosti vedou k DMG souborům
Mezitím odhalila bezpečnostní firma Intego pokusy o zneužití přesně této zranitelnosti. Tým zabývající se malwarem objevil zkraje minulého týdne pokus o distribuci malwaru metodou, kterou popisuje Cavallarin.
Původně popsaná chyba využívala ZIP soubor. Nová technika naopak zkouší štěstí se souborem obrazu disku.
Diskový obraz byl buď formátu ISO 9660 s koncovkou .dmg, anebo přímo Applovský formát .dmg. Běžně využívá ISO obraz obvykle přípony .iso, .cdr, ale pro macOS je mnohem běžnější .dmg (Apple Disk Image). Není to poprvé, co se malware snaží využít právě tyto sobory, patrně aby se vyhnul anti-malwarovým programům.
Intego zachytilo celkem čtyři různé vzorky, které zachytil VirusTotal šestého června. Rozdíl mezi jednotlivými nálezy byl v řádu hodin a všechny spojovala síťová cesta na NFS server.
Adware OSX/Surfbuyer maskovaný jako Adobe Flash Player
Odborníkům se podařilo zjistit, že vzorky nápadně připomínají adware OSX/Surfbuyer. Jde o reklamní malware, který obtěžuje uživatele nejen při prohlížení webu.
Soubory byly maskovány jako instalátory Adobe Flash Playeru. To je v podstatě nejběžnější způsob, jak se tvůrci snaží přesvědčit uživatele, aby si do Macu nainstalovali malware. Čtvrtý vzorek byl podepsán vývojářským účtem Mastura Fenny (2PVD64XRF3), který byl v minulosti využit pro stovky falešných instalátorů Flashe. Všechny přitom spadají pod adware OSX/Surfbuyer.
Zachycené vzorky zatím nedělaly nic jiného, než že dočasně vytvořily textový soubor. Jelikož byly aplikace v diskových obrazech dynamicky propojeny, bylo snadné kdykoli změnit serverové umístění. A to aniž by bylo nutné distribuovaný malware upravovat. Je tedy pravděpodobné, že tvůrci po odzkoušení naprogramovali už „produkční“ aplikace s obsaženým malware. Ten už nemusel být zachycen anti-malwarem VirusTotal.
Intego nahlásilo tento vývojářský účet Applu, aby mu bylo odebráno podpisové právo certifikátu.
Pro větší bezpečnost se uživatelům doporučuje instalovat aplikace primárně z Mac App Store a u instalace aplikací z externích zdrojů přemýšlet o jejich původu.
Petr Škuta 
Amaya Tomanová 
Daniel Hruška 