Üç ay əvvəl, macOS-u potensial zərərli proqram təminatından qorumalı olan Gatekeeper funksiyasında boşluq aşkar edildi. İlk sui-istifadə cəhdlərinin görünməsi çox çəkmədi.
Bununla belə, təhlükəsizlik eksperti Filippo Kavallarin proqramın imza yoxlamasının özündə problem aşkarlayıb. Həqiqətən, orijinallıq yoxlaması müəyyən bir şəkildə tamamilə yan keçə bilər.
Hazırkı formada, Gatekeeper xarici diskləri və şəbəkə yaddaşını "təhlükəsiz yerlər" hesab edir. Bu o deməkdir ki, o, istənilən proqrama yenidən yoxlamadan bu yerlərdə işləməyə imkan verir.Bu yolla istifadəçi asanlıqla aldadıla bilər ki, bilmədən ortaq diski və ya yaddaşı quraşdırsın. Bu qovluqdakı hər şey daha sonra Gatekeeper tərəfindən asanlıqla keçilir.
Başqa sözlə, bir imzalı tətbiq bir çox digər, imzasız olanların yolunu tez bir zamanda aça bilər. Cavallarin, təhlükəsizlik qüsurunu Apple-a səliqəli şəkildə bildirdi və sonra 90 gün cavab gözlədi. Bu müddətdən sonra o, nəticədə etdiyi səhvi dərc etmək hüququna malikdir. Kupertinodan heç kim onun təşəbbüsünə cavab vermədi.
Zəiflikdən istifadə etmək üçün ilk cəhdlər DMG fayllarına gətirib çıxarır
Bu arada, Intego təhlükəsizlik firması məhz bu boşluqdan istifadə etmək cəhdlərini üzə çıxarıb. Keçən həftənin sonunda zərərli proqram qrupu Cavallarin tərəfindən təsvir edilən metoddan istifadə edərək zərərli proqramı yaymaq cəhdini aşkarladı.
Əvvəlcə təsvir edilən səhv ZIP faylından istifadə etdi. Yeni texnika isə disk təsvir faylı ilə şansını sınayır.
Disk şəkli ya .dmg uzantılı ISO 9660 formatında, ya da birbaşa Apple-ın .dmg formatında idi. Adətən, ISO təsviri .iso, .cdr uzantılarından istifadə edir, lakin macOS üçün .dmg (Apple Disk Image) daha çox yayılmışdır. Zərərli proqram ilk dəfə deyil ki, zərərli proqram əleyhinə proqramlardan qaçmaq üçün bu faylları istifadə etməyə çalışır.
Intego, VirusTotal tərəfindən iyunun 6-da ələ keçirilən cəmi dörd fərqli nümunə götürdü. Fərdi tapıntılar arasındakı fərq saatlarla idi və onların hamısı NFS serverinə şəbəkə yolu ilə bağlanmışdı.
Adobe Flash Player kimi maskalanmış OSX/Surfbuyer reklam proqramı
Mütəxəssislər nümunələrin OSX/Surfbuyer reklam proqramına heyrətamiz dərəcədə bənzədiyini müəyyən edə bildilər. Bu, istifadəçiləri təkcə internetə baxarkən deyil, qıcıqlandıran reklam proqram təminatıdır.
Fayllar Adobe Flash Player quraşdırıcıları kimi maskalanıb. Bu, əsasən tərtibatçıların istifadəçiləri Mac-da zərərli proqram quraşdırmağa inandırmağa çalışdıqları ən ümumi üsuldur. Dördüncü nümunə, keçmişdə yüzlərlə saxta Flash quraşdırıcısı üçün istifadə edilmiş Mastura Fenny (2PVD64XRF3) tərtibatçı hesabı tərəfindən imzalanmışdır. Onların hamısı OSX/Surfbuyer reklam proqramının altına düşür.
İndiyədək tutulan nümunələr müvəqqəti olaraq mətn faylı yaratmaqdan başqa heç nə etməyib. Tətbiqlər disk şəkillərində dinamik şəkildə əlaqəli olduğundan istənilən vaxt server yerini dəyişmək asan idi. Və bu, paylanmış zərərli proqramı redaktə etmədən. Buna görə də, çox güman ki, yaradıcılar sınaqdan sonra artıq zərərli proqram təminatı olan "istehsal" proqramlarını proqramlaşdırıblar. Artıq VirusTotal anti-zərərli proqram tərəfindən tutulmalı deyildi.
Intego bu tərtibatçı hesabının sertifikat imzalama səlahiyyətinin ləğv edilməsi üçün Apple-a məlumat verdi.
Əlavə təhlükəsizlik üçün istifadəçilərə proqramları ilk növbədə Mac App Store-dan quraşdırmaları və xarici mənbələrdən tətbiqləri quraşdırarkən onların mənşəyi haqqında düşünmələri tövsiyə olunur.
Petr Şkuta 
Amaya Toman 
Daniel Hruska 