Kolm kuud tagasi avastati haavatavus Gatekeeperi funktsioonis, mis peaks kaitsma macOS-i potentsiaalselt kahjuliku tarkvara eest. Ei läinud kaua, kui ilmnesid esimesed kuritarvitamise katsed.
Turvaekspert Filippo Cavallarin on aga avastanud probleemi rakenduse allkirjakontrollis endas. Tõepoolest, autentsuse kontrollist saab teatud viisil täielikult mööda minna.
Praegusel kujul peab Gatekeeper väliseid draive ja võrgusalvestust "turvalisteks asukohtadeks". See tähendab, et see võimaldab mis tahes rakendusel töötada nendes asukohtades ilma uuesti kontrollimata. Nii saab kasutajat hõlpsasti petta, et ta ühendaks teadmatult jagatud draivi või salvestusruumi. Seejärel saab Gatekeeper kõigest selles kaustas hõlpsasti mööda minna.
Teisisõnu, üksainus allkirjastatud rakendus võib kiiresti avada tee paljudele teistele, allkirjastamata rakendustele. Cavallarin teatas turvaveast kohusetundlikult Apple'ile ja ootas seejärel 90 päeva vastust. Pärast seda perioodi on tal õigus viga avaldada, mida ta lõpuks ka tegi. Cupertinost ei reageerinud tema initsiatiivile keegi.
Esimesed katsed haavatavust ära kasutada viivad DMG-failideni
Vahepeal on turvafirma Intego avastanud katsed just seda haavatavust ära kasutada. Möödunud nädala lõpus avastas pahavarameeskond katse pahavara levitada Cavallarini kirjeldatud meetodil.
Algselt kirjeldatud viga kasutas ZIP-faili. Uus tehnika seevastu proovib õnne ketta pildifailiga.
Kettapilt oli kas ISO 9660 formaadis .dmg laiendiga või otse Apple'i .dmg formaadis. Tavaliselt kasutab ISO-tõmmis laiendeid .iso, .cdr, kuid macOS-i puhul on .dmg (Apple Disk Image) palju tavalisem. See pole esimene kord, kui pahavara üritab neid faile kasutada, ilmselt selleks, et vältida pahavaratõrjeprogramme.
Intego jäädvustas 6. juunil VirusTotali poolt kokku neli erinevat proovi. Üksikute leidude erinevus oli tundide suurusjärgus ja need kõik olid võrgutee kaudu ühendatud NFS-serveriga.
OSX/Surfbuyeri reklaamvara, mis on maskeeritud Adobe Flash Playeriks
Ekspertidel õnnestus tuvastada, et näidised on hämmastavalt sarnased OSX/Surfbuyeri reklaamvaraga. See on reklaamvara pahavara, mis ärritab kasutajaid mitte ainult veebi sirvimise ajal.
Failid olid maskeeritud Adobe Flash Playeri installijateks. See on põhimõtteliselt kõige levinum viis, kuidas arendajad püüavad veenda kasutajaid oma Maci pahavara installima. Neljanda näidise allkirjastas arendajakonto Mastura Fenny (2PVD64XRF3), mida on varem kasutatud sadade võlts-Flashi installijate jaoks. Need kõik kuuluvad OSX/Surfbuyeri reklaamvara alla.
Siiani pole jäädvustatud näidised muud teinud kui ajutiselt tekstifaili loonud. Kuna rakendused olid kettakujutistes dünaamiliselt lingitud, oli serveri asukohta igal ajal lihtne muuta. Ja seda ilma levitatud pahavara redigeerimata. Seetõttu on tõenäoline, et loojad on pärast testimist juba programmeerinud "tootmis" rakendused, milles sisaldub pahavara. VirusTotali pahavaratõrje ei pidanud seda enam kinni püüdma.
Intego teatas sellest arendajakontost Apple'ile, et selle sertifikaadi allkirjastamise volitus tühistataks.
Turvalisuse suurendamiseks soovitatakse kasutajatel installida rakendused peamiselt Mac App Store'ist ja mõelda nende päritolule, kui installite rakendusi välistest allikatest.
Petr Škuta 
Amaya Toman 
Daniel Hruska 