Tilu bulan ka tukang, kerentanan kapanggih dina fungsi Gatekeeper, anu sakuduna ngajagi macOS tina parangkat lunak anu berpotensi ngabahayakeun. Teu kungsi lila pikeun usaha mimiti nyiksa némbongan.
Gatekeeper dirancang pikeun ngadalikeun aplikasi Mac. Parangkat lunak anu henteu ditandatanganan ku Apple mangka ditandaan salaku berpotensi bahaya ku sistem sarta merlukeun idin pamaké tambahan saméméh instalasi.
Nanging, ahli kaamanan Filippo Cavallarin parantos mendakan masalah sareng parios tandatangan aplikasi sorangan. Mémang, cek kaaslianana tiasa dileungitkeun ku cara anu tangtu.
Dina bentuk ayeuna, Gatekeeper nganggap drive éksternal sareng panyimpenan jaringan salaku "lokasi anu aman". Ieu ngandung harti yén éta ngamungkinkeun aplikasi mana wae pikeun ngajalankeun di lokasi ieu tanpa mariksa deui.Ku cara ieu, pamaké bisa gampang tricked kana unknowingly dipasang drive atawa gudang dibagikeun. Naon waé anu aya dina folder éta teras gampang dilewatan ku Gatekeeper.
Kalayan kecap sanésna, hiji aplikasi anu ditandatanganan tiasa gancang muka jalan pikeun seueur anu sanés, anu henteu ditandatanganan. Cavallarin patuh ngalaporkeun cacad kaamanan ka Apple teras ngantosan 90 dinten kanggo réspon. Saatos periode ieu, anjeunna dijudulan nyebarkeun kasalahan, anu ahirna anjeunna laksanakeun. Taya sahijieun ti Cupertino ngabales inisiatif na.
Usaha munggaran pikeun ngamangpaatkeun kerentanan ngakibatkeun file DMG
Samentara éta, firma kaamanan Intego parantos mendakan usaha pikeun ngamangpaatkeun kerentanan ieu. Ahir minggu kamari, tim malware mendakan usaha pikeun nyebarkeun malware nganggo metode anu dijelaskeun ku Cavallarin.
Bug anu tadina dijelaskeun nganggo file ZIP. Téhnik anyar, di sisi séjén, nyobian tuah na ku file gambar disk.
Gambar disk éta boh dina format ISO 9660 kalawan extension .dmg, atawa langsung dina format .dmg Apple. Biasana, gambar ISO nganggo ekstensi .iso, .cdr, tapi pikeun macOS, .dmg (Apple Disk Image) langkung umum. Ieu sanés pertama kalina malware nyobian nganggo file ieu, sigana pikeun ngahindarkeun program anti malware.
Intego néwak jumlahna aya opat conto anu béda anu dicandak ku VirusTotal dina 6 Juni. Beda antara papanggihan individu éta dina urutan jam, sarta maranéhanana kabéh disambungkeun ku jalur jaringan ka server NFS.
OSX / Surfbuyer adware nyamar salaku Adobe Flash Player
Para ahli junun manggihan yén sampel anu strikingly sarupa OSX / Surfbuyer adware. Ieu mangrupikeun malware adware anu ngaganggu pangguna sanés ngan ukur nalika ngotéktak wéb.
File-file éta nyamar salaku pamasang Adobe Flash Player. Ieu dasarna mangrupikeun cara pangembang anu paling umum pikeun ngayakinkeun pangguna pikeun masang malware dina Mac na. Sampel kaopat ditandatanganan ku akun pamekar Mastura Fenny (2PVD64XRF3), anu parantos dianggo pikeun ratusan installer Flash palsu dina jaman baheula. Éta sadayana digolongkeun dina OSX / Surfbuyer adware.
Sajauh ieu, sampel anu direbut henteu ngalakukeun nanaon tapi samentawis nyiptakeun file téks. Kusabab aplikasi anu dinamis numbu dina gambar disk, éta gampang pikeun ngarobah lokasi server iraha wae. Sareng éta tanpa kedah ngédit malware anu disebarkeun. Ku kituna kamungkinan yén panyipta, saatos nguji, parantos ngaprogram aplikasi "produksi" sareng malware anu dikandung. Éta henteu kedah deui katangkep ku anti-malware VirusTotal.
Intego ngalaporkeun akun pamekar ieu ka Apple supados otoritas nandatanganan sertipikatna dicabut.
Pikeun kaamanan tambahan, pangguna disarankan pikeun masang aplikasi utamina ti Mac App Store sareng mikirkeun asal-usulna nalika masang aplikasi tina sumber éksternal.
Petr Skuta 
Amaya Toman 
Daniel Hruska 