Тры месяцы таму была выяўленая ўразлівасць у функцыі Gatekeeper, якая павінна абараняць macOS ад патэнцыйна шкоднага праграмнага забеспячэння. Неўзабаве з'явіліся першыя спробы гвалту.
Gatekeeper прызначаны для кіравання праграмамі Mac. Праграмнае забеспячэнне, якое не падпісана Apple затым сістэма пазначае яго як патэнцыйна небяспечны і патрабуе дадатковага дазволу карыстальніка перад устаноўкай.
Аднак эксперт па бяспецы Філіпа Каваларын выявіў праблему з праверкай подпісаў самой праграмы. Сапраўды, праверку сапраўднасці можна пэўным чынам цалкам абыйсці.
У сваёй цяперашняй форме Gatekeeper лічыць знешнія дыскі і сеткавае сховішча «бяспечнымі месцамі». Гэта азначае, што гэта дазваляе любому прылажэнню працаваць у гэтых месцах без паўторнай праверкі. Такім чынам, карыстальніка можна лёгка падмануць і прымусіць яго неўсвядомлена падключыць агульны дыск або сховішча. Затым Gatekeeper лёгка абыходзіць усё, што знаходзіцца ў гэтай папцы.
Іншымі словамі, адно падпісанае прыкладанне можа хутка адкрыць шлях для многіх іншых, непадпісаных. Cavallarin паслухмяна паведаміў аб недахопе бяспекі ў Apple, а потым чакаў адказу 90 дзён. Пасля гэтага перыяду ён мае права апублікаваць памылку, што ён у выніку і зрабіў. Ніхто з Куперціна на яго ініцыятыву не адгукнуўся.
Першыя спробы выкарыстаць уразлівасць прыводзяць да файлаў DMG
Тым часам ахоўная фірма Intego выявіла спробы выкарыстаць менавіта гэтую ўразлівасць. У канцы мінулага тыдня каманда шкоднасных праграм выявіла спробу распаўсюджвання шкоднасных праграм метадам, апісаным Каваларынам.
Першапачаткова апісаная памылка выкарыстоўвала ZIP-файл. Новая тэхніка, з другога боку, спрабуе шчасця з файлам выявы дыска.
Вобраз дыска быў альбо ў фармаце ISO 9660 з пашырэннем .dmg, альбо непасрэдна ў фармаце .dmg ад Apple. Звычайна ISO-вобраз выкарыстоўвае пашырэнні .iso, .cdr, але для macOS нашмат часцей сустракаецца .dmg (вобраз дыска Apple). Гэта не першы раз, калі шкоднасныя праграмы спрабуюць выкарыстоўваць гэтыя файлы, відаць, каб пазбегнуць антышкоднасных праграм.
Intego захапіў у агульнай складанасці чатыры розныя ўзоры, зафіксаваныя VirusTotal 6 чэрвеня. Розніца паміж асобнымі знаходкамі складала некалькі гадзін, і ўсе яны былі падлучаныя сеткавым шляхам да сервера NFS.
Рэкламнае ПЗ OSX/Surfbuyer пад выглядам Adobe Flash Player
Экспертам удалося высветліць, што ўзоры ашаламляльна падобныя на рэкламнае ПЗ OSX/Surfbuyer. Гэта рэкламная шкоднасная праграма, якая раздражняе карыстальнікаў не толькі падчас прагляду вэб-старонак.
Файлы былі замаскіраваны пад праграмы ўстаноўкі Adobe Flash Player. Па сутнасці, гэта найбольш распаўсюджаны спосаб, якім распрацоўшчыкі спрабуюць пераканаць карыстальнікаў усталяваць шкоднасныя праграмы на іх Mac. Чацвёрты ўзор быў падпісаны ўліковым запісам распрацоўшчыка Mastura Fenny (2PVD64XRF3), які ў мінулым выкарыстоўваўся для сотняў падробленых праграм усталёўкі Flash. Усе яны падпадаюць пад рэкламнае ПЗ OSX/Surfbuyer.
Да гэтага часу захопленыя ўзоры нічога не рабілі, акрамя часовага стварэння тэкставага файла. Паколькі прыкладанні былі дынамічна звязаны ў вобразах дыскаў, можна было лёгка змяніць месцазнаходжанне сервера ў любы час. І гэта без неабходнасці рэдагавання распаўсюджваемых шкоднасных праграм. Таму цалкам верагодна, што стваральнікі пасля тэставання ўжо запраграмавалі «вытворчыя» прыкладанні з утрымоўванымі шкоднаснымі праграмамі. Больш не трэба было падлоўліваць яго антышкоднасным ПЗ VirusTotal.
Intego паведаміла аб гэтым уліковым запісе распрацоўшчыка ў Apple, каб адклікаць паўнамоцтвы на подпіс сертыфіката.
Для дадатковай бяспекі карыстальнікам рэкамендуецца ўсталёўваць праграмы пераважна з Mac App Store і думаць пра іх паходжанне пры ўсталёўцы праграм са знешніх крыніц.
Пётр Шкута 
Амая Томан 
Даніэль Грушка 