Три місяці тому була виявлена уразливість у функції Gatekeeper, яка має захистити macOS від потенційно шкідливого програмного забезпечення. Незабаром з'явилися перші спроби зловживань.
Gatekeeper призначений для керування програмами Mac. Програмне забезпечення, яке не підписане Apple потім система позначає його як потенційно небезпечний і вимагає додаткового дозволу користувача перед встановленням.
Однак експерт з безпеки Філіппо Кавалларін виявив проблему з самою перевіркою підпису програми. Дійсно, перевірку автентичності можна певним чином повністю обійти.
У своїй поточній формі Gatekeeper розглядає зовнішні диски та мережеве сховище як «безпечні місця». Це означає, що він дозволяє будь-якій програмі запускатися в цих місцях без повторної перевірки. Таким чином, користувача можна легко обманом змусити несвідомо підключити спільний диск або сховище. Будь-що в цій папці потім легко обходить Gatekeeper.
Іншими словами, одна підписана програма може швидко відкрити шлях для багатьох інших, непідписаних. Кавалларін сумлінно повідомив про недолік безпеки в Apple, а потім чекав на відповідь 90 днів. Після закінчення цього періоду він має право опублікувати помилку, що він зрештою і зробив. На його ініціативу з Купертіно ніхто не відгукнувся.
Перші спроби використання уразливості призводять до файлів DMG
Тим часом охоронна фірма Intego виявила спроби використовувати саме цю вразливість. Наприкінці минулого тижня команда виявила спробу розповсюдити зловмисне програмне забезпечення за допомогою методу, описаного Кавалларіном.
Спочатку описана помилка використовувала файл ZIP. Нова техніка, з іншого боку, випробовує щастя з файлом образу диска.
Образ диска був або у форматі ISO 9660 із розширенням .dmg, або безпосередньо у форматі .dmg від Apple. Зазвичай ISO-образ використовує розширення .iso, .cdr, але для macOS набагато поширенішим є .dmg (образ диска Apple). Це не перший випадок, коли зловмисне програмне забезпечення намагається використовувати ці файли, мабуть, щоб уникнути програм захисту від шкідливих програм.
Intego зібрав загалом чотири різні зразки, отримані VirusTotal 6 червня. Різниця між окремими результатами була в порядку годин, і всі вони були підключені мережевим шляхом до сервера NFS.
Рекламне програмне забезпечення OSX/Surfbuyer під виглядом Adobe Flash Player
Експертам вдалося виявити, що зразки разюче схожі на рекламне ПЗ OSX/Surfbuyer. Це рекламне шкідливе програмне забезпечення, яке дратує користувачів не лише під час перегляду веб-сторінок.
Файли були замасковані під інсталятори Adobe Flash Player. По суті, це найпоширеніший спосіб, яким розробники намагаються переконати користувачів встановити зловмисне програмне забезпечення на свій Mac. Четвертий зразок був підписаний обліковим записом розробника Mastura Fenny (2PVD64XRF3), який у минулому використовувався для сотень підроблених інсталяторів Flash. Усі вони підпадають під рекламне ПЗ OSX/Surfbuyer.
Поки що захоплені зразки не зробили нічого, крім тимчасового створення текстового файлу. Оскільки програми були динамічно пов’язані в образах дисків, було легко змінити розташування сервера в будь-який час. І це без необхідності редагувати розповсюджене шкідливе програмне забезпечення. Тому ймовірно, що творці після тестування вже запрограмували «виробничі» додатки з вмістом шкідливих програм. Його більше не потрібно було виловлювати антишкідним програмним забезпеченням VirusTotal.
Intego повідомила Apple про цей обліковий запис розробника для скасування повноважень підпису сертифіката.
Для додаткової безпеки користувачам рекомендується встановлювати програми переважно з Mac App Store і думати про їх походження під час встановлення програм із зовнішніх джерел.
Петро Шкута 
Амайя Томан 
Данило Грушка 