Pirms trim mēnešiem tika atklāta ievainojamība funkcijā Gatekeeper, kurai vajadzētu aizsargāt MacOS no potenciāli kaitīgas programmatūras. Nepagāja ilgs laiks, kad parādījās pirmie ļaunprātīgas izmantošanas mēģinājumi.
Gatekeeper ir paredzēts Mac lietojumprogrammu vadīšanai. Programmatūra, ko nav parakstījis Apple pēc tam sistēma to atzīmē kā potenciāli bīstamu un pirms instalēšanas ir nepieciešama papildu lietotāja atļauja.
Tomēr drošības eksperts Filipo Kavalarins ir atklājis problēmu ar pašu lietotnes paraksta pārbaudi. Patiešām, autentiskuma pārbaudi noteiktā veidā var pilnībā apiet.
Pašreizējā formā Gatekeeper ārējos diskus un tīkla krātuvi uzskata par "drošām vietām". Tas nozīmē, ka jebkurai lietojumprogrammai ir atļauts darboties šajās vietās bez atkārtotas pārbaudes. Tādējādi lietotāju var viegli piemānīt, lai tas neapzināti pievienotu koplietotu disku vai krātuvi. Gatekeeper var viegli apiet visu, kas atrodas šajā mapē.
Citiem vārdiem sakot, viena parakstīta lietojumprogramma var ātri pavērt ceļu daudzām citām, neparakstītām. Cavallarin apzinīgi ziņoja par drošības trūkumu Apple un pēc tam 90 dienas gaidīja atbildi. Pēc šī perioda viņam ir tiesības publicēt kļūdu, ko viņš galu galā izdarīja. Neviens no Cupertino uz viņa iniciatīvu neatsaucās.
Pirmie mēģinājumi izmantot ievainojamību noved pie DMG failiem
Tikmēr drošības firma Intego ir atklājusi mēģinājumus izmantot tieši šo ievainojamību. Pagājušās nedēļas beigās ļaunprātīgas programmatūras komanda atklāja mēģinājumu izplatīt ļaunprātīgu programmatūru, izmantojot Cavallarin aprakstīto metodi.
Sākotnēji aprakstītā kļūda izmantoja ZIP failu. Savukārt jaunā tehnika izmēģina veiksmi ar diska attēla failu.
Diska attēls bija vai nu ISO 9660 formātā ar paplašinājumu .dmg, vai tieši Apple .dmg formātā. Parasti ISO attēlā tiek izmantoti paplašinājumi .iso, .cdr, bet operētājsistēmā macOS dmg (Apple diska attēls) ir daudz izplatītāks. Šī nav pirmā reize, kad ļaunprātīga programmatūra mēģina izmantot šos failus, acīmredzot, lai izvairītos no ļaunprātīgas programmatūras novēršanas programmām.
Intego kopumā uztvēra četrus dažādus paraugus, ko VirusTotal tvēra 6. jūnijā. Atšķirība starp atsevišķiem atradumiem bija stundu secībā, un tie visi bija savienoti ar tīkla ceļu ar NFS serveri.
OSX/Surfbuyer reklāmprogrammatūra, kas maskēta kā Adobe Flash Player
Ekspertiem izdevās konstatēt, ka paraugi ir pārsteidzoši līdzīgi OSX/Surfbuyer reklāmprogrammatūrai. Šī ir reklāmprogrammatūra, kas kaitina lietotājus ne tikai tīmekļa pārlūkošanas laikā.
Faili tika slēpti kā Adobe Flash Player instalētāji. Tas būtībā ir visizplatītākais veids, kā izstrādātāji mēģina pārliecināt lietotājus instalēt ļaunprātīgu programmatūru savā Mac datorā. Ceturto paraugu parakstīja izstrādātāja konts Mastura Fenny (2PVD64XRF3), kas agrāk tika izmantots simtiem viltotu Flash instalētāju. Tie visi ietilpst OSX/Surfbuyer reklāmprogrammatūrā.
Līdz šim uzņemtie paraugi nav darījuši neko citu, kā tikai īslaicīgi izveidojuši teksta failu. Tā kā lietojumprogrammas bija dinamiski saistītas diska attēlos, servera atrašanās vietu bija viegli mainīt jebkurā laikā. Un tas notiek bez nepieciešamības pārveidot izplatīto ļaunprogrammatūru. Tāpēc ir iespējams, ka veidotāji pēc testēšanas jau ir ieprogrammējuši "ražošanas" lietojumprogrammas ar ietvertu ļaunprātīgu programmatūru. VirusTotal pretļaunprātīgajai programmatūrai to vairs nebija jānoķer.
Intego ziņoja par šo izstrādātāja kontu Apple, lai tā atsauktu sertifikātu parakstīšanas pilnvaras.
Lai nodrošinātu papildu drošību, lietotājiem ieteicams instalēt lietotnes galvenokārt no Mac App Store un, instalējot lietotnes no ārējiem avotiem, padomāt par to izcelsmi.
Petrs Škuta 
Amaija Tomane 
Daniels Hruska 