Kolme kuukautta sitten Gatekeeper-toiminnossa havaittiin haavoittuvuus, jonka oletetaan suojaavan macOS:ää mahdollisesti haitallisilta ohjelmistoilta. Ei kestänyt kauan, kun ensimmäiset väärinkäyttöyritykset ilmestyivät.
Tietoturva-asiantuntija Filippo Cavallarin on kuitenkin paljastanut ongelman itse sovelluksen allekirjoituksen tarkistuksessa. Aitouden tarkistus voidaan todellakin ohittaa kokonaan tietyllä tavalla.
Nykyisessä muodossaan Gatekeeper pitää ulkoisia asemia ja verkkotallennustilaa "turvallisina sijainneina". Tämä tarkoittaa, että se mahdollistaa minkä tahansa sovelluksen suorittamisen näissä paikoissa ilman uudelleentarkistusta.Tällä tavalla käyttäjä voidaan helposti huijata tietämättään asentamaan jaettu asema tai tallennustila. Gatekeeper ohittaa sitten helposti kaiken kansiossa olevan.
Toisin sanoen yksi allekirjoitettu sovellus voi nopeasti avata tien monille muille allekirjoittamattomille. Cavallarin ilmoitti tietoturvavirheestä Applelle ja odotti sitten 90 päivää vastausta. Tämän ajanjakson jälkeen hänellä on oikeus julkaista virhe, minkä hän lopulta teki. Kukaan Cupertinosta ei vastannut hänen aloitteeseensa.
Ensimmäiset yritykset hyödyntää haavoittuvuutta johtavat DMG-tiedostoihin
Sillä välin tietoturvayritys Intego on paljastanut yrityksiä hyödyntää juuri tätä haavoittuvuutta. Viime viikon lopulla haittaohjelmatiimi havaitsi yrityksen levittää haittaohjelmaa Cavallarinin kuvaamalla menetelmällä.
Alunperin kuvattu bugi käytti ZIP-tiedostoa. Uusi tekniikka sen sijaan yrittää onneaan levykuvatiedoston kanssa.
Levykuva oli joko ISO 9660 -muodossa .dmg-tunnisteella tai suoraan Applen .dmg-muodossa. Yleensä ISO-otos käyttää laajennuksia .iso, .cdr, mutta macOS:ssä .dmg (Apple Disk Image) on paljon yleisempi. Tämä ei ole ensimmäinen kerta, kun haittaohjelmat yrittävät käyttää näitä tiedostoja, ilmeisesti välttääkseen haittaohjelmien torjuntaohjelmia.
Intego nappasi yhteensä neljä erilaista VirusTotalin vangitsemaa näytettä 6. kesäkuuta. Ero yksittäisten löydösten välillä oli tuntien luokkaa, ja ne kaikki yhdistettiin verkkopolun kautta NFS-palvelimeen.
OSX/Surfbuyer-mainosohjelma, joka on naamioitu Adobe Flash Playeriksi
Asiantuntijat onnistuivat havaitsemaan, että näytteet ovat hämmästyttävän samanlaisia kuin OSX/Surfbuyer-mainosohjelmat. Tämä on haittaohjelma, joka ärsyttää käyttäjiä paitsi verkkoa selattaessa.
Tiedostot oli naamioitu Adobe Flash Playerin asennusohjelmiksi. Tämä on periaatteessa yleisin tapa, jolla kehittäjät yrittävät saada käyttäjät asentamaan haittaohjelmia Maciinsa. Neljännen näytteen allekirjoitti kehittäjätili Mastura Fenny (2PVD64XRF3), jota on aiemmin käytetty satoihin väärennettyihin Flash-asentajiin. Ne kaikki kuuluvat OSX/Surfbuyer-mainosohjelmien alle.
Toistaiseksi kaapatut näytteet eivät ole tehneet muuta kuin luoneet väliaikaisesti tekstitiedoston. Koska sovellukset linkitettiin dynaamisesti levykuvissa, palvelimen sijaintia oli helppo vaihtaa milloin tahansa. Ja tämä ilman, että hajautettuja haittaohjelmia tarvitsee muokata. Siksi on todennäköistä, että tekijät ovat testauksen jälkeen jo ohjelmoineet "tuotantosovelluksia", joissa on haittaohjelmia. VirusTotal-haittaohjelmien ei enää tarvinnut vangita sitä.
Intego ilmoitti tästä kehittäjätilistä Applelle, jotta sen varmenteen allekirjoitusvaltuudet peruutetaan.
Turvallisuuden lisäämiseksi käyttäjiä kehotetaan asentamaan sovelluksia ensisijaisesti Mac App Storesta ja pohtimaan niiden alkuperää asentaessaan sovelluksia ulkoisista lähteistä.
Petr Škuta 
Amaya Toman 
Daniel Hruska 