Tiga bulan lalu, kelemahan ditemui dalam fungsi Gatekeeper, yang sepatutnya melindungi macOS daripada perisian yang berpotensi berbahaya. Ia tidak mengambil masa lama untuk percubaan pertama penyalahgunaan muncul.
Walau bagaimanapun, pakar keselamatan Filippo Cavallarin telah menemui masalah dengan semakan tandatangan aplikasi itu sendiri. Sesungguhnya, semakan ketulenan boleh dilangkau sepenuhnya dengan cara tertentu.
Dalam bentuk semasa, Gatekeeper menganggap pemacu luaran dan storan rangkaian sebagai "lokasi selamat". Ini bermakna ia membenarkan mana-mana aplikasi berjalan di lokasi ini tanpa menyemak semula. Dengan cara ini, pengguna boleh diperdaya dengan mudah untuk memasang pemacu atau storan kongsi tanpa disedari. Apa-apa sahaja dalam folder itu kemudiannya dengan mudah dipintas oleh Gatekeeper.
Dalam erti kata lain, satu aplikasi yang ditandatangani dengan cepat boleh membuka laluan kepada banyak aplikasi lain yang tidak ditandatangani. Cavallarin dengan patuh melaporkan kecacatan keselamatan kepada Apple dan kemudian menunggu 90 hari untuk maklum balas. Selepas tempoh ini, dia berhak untuk menerbitkan kesilapan itu, yang akhirnya dia lakukan. Tiada seorang pun daripada Cupertino memberi respons kepada inisiatifnya.
Percubaan pertama untuk mengeksploitasi kerentanan membawa kepada fail DMG
Sementara itu, firma keselamatan Intego telah menemui percubaan untuk mengeksploitasi kelemahan ini. Lewat minggu lalu, pasukan perisian hasad menemui percubaan untuk mengedarkan perisian hasad menggunakan kaedah yang diterangkan oleh Cavallarin.
Pepijat yang diterangkan pada asalnya menggunakan fail ZIP. Teknik baru, sebaliknya, mencuba nasib dengan fail imej cakera.
Imej cakera itu sama ada dalam format ISO 9660 dengan sambungan .dmg, atau terus dalam format .dmg Apple. Lazimnya, imej ISO menggunakan sambungan .iso, .cdr, tetapi untuk macOS, .dmg (Imej Cakera Apple) adalah lebih biasa. Ini bukan kali pertama perisian hasad cuba menggunakan fail ini, nampaknya untuk mengelakkan program anti perisian hasad.
Intego menangkap sejumlah empat sampel berbeza yang ditangkap oleh VirusTotal pada 6 Jun. Perbezaan antara penemuan individu adalah mengikut urutan jam, dan semuanya disambungkan oleh laluan rangkaian ke pelayan NFS.
Perisian iklan OSX/Surfbuyer menyamar sebagai Adobe Flash Player
Pakar berjaya mendapati bahawa sampel adalah sangat serupa dengan perisian iklan OSX/Surfbuyer. Ini adalah perisian hasad adware yang mengganggu pengguna bukan sahaja semasa menyemak imbas web.
Fail itu menyamar sebagai pemasang Adobe Flash Player. Ini pada asasnya adalah cara paling biasa pembangun cuba meyakinkan pengguna untuk memasang perisian hasad pada Mac mereka. Sampel keempat telah ditandatangani oleh akaun pembangun Mastura Fenny (2PVD64XRF3), yang telah digunakan untuk ratusan pemasang Flash palsu pada masa lalu. Kesemuanya berada di bawah perisian iklan OSX/Surfbuyer.
Setakat ini, sampel yang ditangkap tidak melakukan apa-apa selain mencipta fail teks buat sementara waktu. Oleh kerana aplikasi dipautkan secara dinamik dalam imej cakera, adalah mudah untuk menukar lokasi pelayan pada bila-bila masa. Dan itu tanpa perlu mengedit perisian hasad yang diedarkan. Oleh itu kemungkinan besar pencipta, selepas ujian, telah memprogramkan aplikasi "pengeluaran" dengan perisian hasad yang terkandung. Ia tidak lagi perlu ditangkap oleh anti-perisian hasad VirusTotal.
Intego melaporkan akaun pembangun ini kepada Apple supaya kuasa menandatangani sijilnya dibatalkan.
Untuk keselamatan tambahan, pengguna dinasihatkan untuk memasang apl terutamanya daripada Mac App Store dan memikirkan asalnya apabila memasang apl daripada sumber luaran.
Petr Škuta 
Amaya Toman 
Daniel Hruska 