För tre månader sedan upptäcktes en sårbarhet i Gatekeeper-funktionen, som ska skydda macOS från potentiellt skadlig programvara. Det tog inte lång tid förrän de första misshandelsförsöken dök upp.
Säkerhetsexperten Filippo Cavallarin har dock upptäckt ett problem med själva appens signaturkontroll. Faktum är att äkthetskontrollen kan förbigås helt på ett visst sätt.
I sin nuvarande form betraktar Gatekeeper externa enheter och nätverkslagring som "säkra platser". Detta innebär att den tillåter alla program att köras på dessa platser utan att kontrollera igen. På så sätt kan användaren enkelt luras att omedvetet montera en delad enhet eller lagring. Allt i den mappen förbigås sedan enkelt av Gatekeeper.
Med andra ord kan en enda signerad ansökan snabbt öppna vägen för många andra, osignerade. Cavallarin rapporterade plikttroget säkerhetsbristen till Apple och väntade sedan 90 dagar på ett svar. Efter denna period har han rätt att publicera felet, vilket han så småningom gjorde. Ingen från Cupertino reagerade på hans initiativ.
De första försöken att utnyttja sårbarheten leder till DMG-filer
Samtidigt har säkerhetsföretaget Intego upptäckt försök att utnyttja exakt denna sårbarhet. I slutet av förra veckan upptäckte malware-teamet ett försök att distribuera skadlig programvara med den metod som beskrivs av Cavallarin.
Felet som ursprungligen beskrevs använde en ZIP-fil. Den nya tekniken å andra sidan prövar lyckan med en diskavbildningsfil.
Diskavbildningen var antingen i ISO 9660-format med tillägget .dmg eller direkt i Apples .dmg-format. Vanligtvis använder en ISO-avbildning tilläggen .iso, .cdr, men för macOS är .dmg (Apple Disk Image) mycket vanligare. Det är inte första gången som skadlig programvara försöker använda dessa filer, uppenbarligen för att undvika program mot skadlig programvara.
Intego fångade totalt fyra olika prover fångade av VirusTotal den 6 juni. Skillnaden mellan de individuella fynden var i storleksordningen timmar, och de var alla kopplade via en nätverksväg till NFS-servern.
OSX/Surfbuyer adware förklädd som Adobe Flash Player
Experter lyckades finna att proverna är slående lika OSX/Surfbuyer adware. Detta är adware malware som irriterar användare inte bara när de surfar på webben.
Filerna var förklädda som installationsprogram för Adobe Flash Player. Detta är i princip det vanligaste sättet som utvecklare försöker övertyga användare om att installera skadlig programvara på sin Mac. Det fjärde provet signerades av utvecklarkontot Mastura Fenny (2PVD64XRF3), som har använts för hundratals falska Flash-installatörer tidigare. De faller alla under OSX/Surfbuyer adware.
Hittills har de tagna proverna inte gjort något annat än att tillfälligt skapa en textfil. Eftersom applikationerna var dynamiskt länkade i diskavbildningarna var det lätt att när som helst ändra serverplatsen. Och det utan att behöva redigera den distribuerade skadliga programvaran. Det är därför troligt att skaparna, efter testning, redan har programmerat "produktions"-applikationer med innesluten skadlig kod. Det behövde inte längre fångas av VirusTotals anti-malware.
Intego rapporterade detta utvecklarkonto till Apple för att få dess certifikatsigneringsbehörighet återkallad.
För ökad säkerhet rekommenderas användare att installera appar i första hand från Mac App Store och att tänka på deras ursprung när de installerar appar från externa källor.
Petr Škuta 
Amaya Toman 
Daniel Hruska 