Tre muaj më parë, një dobësi u zbulua në funksionin Gatekeeper, i cili supozohet të mbrojë macOS nga softueri potencialisht i dëmshëm. Nuk kaloi shumë kohë që u shfaqën përpjekjet e para për abuzim.
Megjithatë, eksperti i sigurisë Filippo Cavallarin ka zbuluar një problem me vetë kontrollin e nënshkrimit të aplikacionit. Në të vërtetë, kontrolli i autenticitetit mund të anashkalohet plotësisht në një mënyrë të caktuar.
Në formën e tij aktuale, Gatekeeper i konsideron disqet e jashtme dhe ruajtjen e rrjetit si "lokacione të sigurta". Kjo do të thotë se lejon çdo aplikacion të ekzekutohet në këto vende pa kontrolluar përsëri. Në këtë mënyrë, përdoruesi mund të mashtrohet lehtësisht për të montuar pa e ditur një disk të përbashkët ose hapësirë ruajtëse. Çdo gjë në atë dosje më pas anashkalohet lehtësisht nga Gatekeeper.
Me fjalë të tjera, një aplikacion i vetëm i nënshkruar mund të hapë shpejt rrugën për shumë të tjera të panënshkruara. Cavallarin raportoi me kujdes defektin e sigurisë tek Apple dhe më pas priti 90 ditë për një përgjigje. Pas kësaj periudhe, ai ka të drejtë të publikojë gabimin, të cilin e bëri përfundimisht. Askush nga Cupertino nuk iu përgjigj nismës së tij.
Përpjekjet e para për të shfrytëzuar cenueshmërinë çojnë në skedarët DMG
Ndërkohë, firma e sigurisë Intego ka zbuluar përpjekje për të shfrytëzuar pikërisht këtë dobësi. Në fund të javës së kaluar, ekipi i malware zbuloi një përpjekje për të shpërndarë malware duke përdorur metodën e përshkruar nga Cavallarin.
Defekti i përshkruar fillimisht përdorte një skedar ZIP. Teknika e re, nga ana tjetër, provon fatin me një skedar imazhi të diskut.
Imazhi i diskut ishte ose në formatin ISO 9660 me një shtesë .dmg, ose drejtpërdrejt në formatin .dmg të Apple. Zakonisht, një imazh ISO përdor shtesat .iso, .cdr, por për macOS, .dmg (Apple Disk Image) është shumë më i zakonshëm. Nuk është hera e parë që malware përpiqet të përdorë këto skedarë, me sa duket për të shmangur programet anti-malware.
Intego kapi gjithsej katër mostra të ndryshme të kapur nga VirusTotal më 6 qershor. Dallimi midis gjetjeve individuale ishte në rendin e orëve, dhe të gjitha ishin të lidhura nga një shteg rrjeti me serverin NFS.
Adware OSX/Surfbuyer i maskuar si Adobe Flash Player
Ekspertët arritën të zbulojnë se mostrat janë jashtëzakonisht të ngjashme me adware OSX/Surfbuyer. Ky është një malware adware që i bezdis përdoruesit jo vetëm gjatë shfletimit të internetit.
Skedarët ishin maskuar si instalues të Adobe Flash Player. Kjo është në thelb mënyra më e zakonshme që zhvilluesit përpiqen të bindin përdoruesit të instalojnë malware në Mac-in e tyre. Mostra e katërt u nënshkrua nga llogaria e zhvilluesit Mastura Fenny (2PVD64XRF3), e cila është përdorur për qindra instalues të rremë Flash në të kaluarën. Ata të gjithë bien nën adware OSX/Surfbuyer.
Deri më tani, mostrat e kapura nuk kanë bërë gjë tjetër veçse kanë krijuar përkohësisht një skedar teksti. Për shkak se aplikacionet ishin të lidhura në mënyrë dinamike në imazhet e diskut, ishte e lehtë të ndryshoni vendndodhjen e serverit në çdo kohë. Dhe kjo pa pasur nevojë të redaktoni malware-in e shpërndarë. Prandaj, ka të ngjarë që krijuesit, pas testimit, të kenë programuar tashmë aplikacione "prodhuese" me malware të përmbajtur. Nuk duhej më të kapej nga anti-malware VirusTotal.
Intego raportoi këtë llogari zhvilluesi tek Apple për t'i hequr autoritetin e nënshkrimit të certifikatës.
Për siguri të shtuar, përdoruesit këshillohen të instalojnë aplikacione kryesisht nga Mac App Store dhe të mendojnë për origjinën e tyre kur instalojnë aplikacione nga burime të jashtme.
Petr Škuta 
Amaya Toman 
Daniel Hruska 