Fa tres mesos, es va descobrir una vulnerabilitat a la funció Gatekeeper, que se suposa que protegeix macOS de programari potencialment nociu. No van trigar a aparèixer els primers intents d'abús.
Tanmateix, l'expert en seguretat Filippo Cavallarin ha descobert un problema amb la comprovació de la signatura de l'aplicació. De fet, la comprovació d'autenticitat es pot ometre completament d'una determinada manera.
En la seva forma actual, Gatekeeper considera les unitats externes i l'emmagatzematge de xarxa com a "ubicacions segures". Això vol dir que permet que qualsevol aplicació s'executi en aquestes ubicacions sense tornar a comprovar-ho. D'aquesta manera, es pot enganyar fàcilment a l'usuari perquè munti una unitat o emmagatzematge compartit sense saber-ho. Tot el que hi ha en aquesta carpeta és obviat fàcilment per Gatekeeper.
En altres paraules, una única aplicació signada pot obrir ràpidament el camí a moltes altres, sense signar. Cavallarin va informar degudament la falla de seguretat a Apple i després va esperar 90 dies per rebre una resposta. Passat aquest termini, té dret a publicar l'error, cosa que finalment va fer. Ningú de Cupertino va respondre a la seva iniciativa.
Els primers intents d'explotar la vulnerabilitat donen lloc a fitxers DMG
Mentrestant, la firma de seguretat Intego ha descobert intents d'explotar exactament aquesta vulnerabilitat. A finals de la setmana passada, l'equip de programari maliciós va descobrir un intent de distribuir el programari maliciós mitjançant el mètode descrit per Cavallarin.
L'error descrit originalment utilitzava un fitxer ZIP. La nova tècnica, en canvi, prova sort amb un fitxer d'imatge de disc.
La imatge del disc estava en format ISO 9660 amb una extensió .dmg o directament en format .dmg d'Apple. Normalment, una imatge ISO utilitza les extensions .iso, .cdr, però per a macOS, .dmg (Imatge de disc d'Apple) és molt més comú. No és la primera vegada que el programari maliciós intenta utilitzar aquests fitxers, pel que sembla per evitar programes anti-malware.
Intego va capturar un total de quatre mostres diferents capturades per VirusTotal el 6 de juny. La diferència entre les troballes individuals era de l'ordre d'hores i totes estaven connectades per una ruta de xarxa al servidor NFS.
Adware OSX/Surfbuyer disfressat d'Adobe Flash Player
Els experts van aconseguir trobar que les mostres són sorprenentment similars al programari publicitari OSX/Surfbuyer. Es tracta d'un programari maliciós adware que molesta als usuaris no només mentre naveguen per la web.
Els fitxers estaven disfressats d'instal·ladors d'Adobe Flash Player. Aquesta és bàsicament la manera més habitual que els desenvolupadors intenten convèncer els usuaris perquè instal·lin programari maliciós al seu Mac. La quarta mostra la va signar el compte de desenvolupador Mastura Fenny (2PVD64XRF3), que s'ha utilitzat per a centenars d'instal·ladors de Flash falsos en el passat. Tots estan sota l'adware OSX/Surfbuyer.
Fins ara, les mostres capturades no han fet més que crear temporalment un fitxer de text. Com que les aplicacions estaven enllaçades dinàmicament a les imatges del disc, era fàcil canviar la ubicació del servidor en qualsevol moment. I això sense haver d'editar el programari maliciós distribuït. Per tant, és probable que els creadors, després de les proves, ja hagin programat aplicacions de "producció" amb programari maliciós contingut. Ja no havia de ser capturat pel programari antimaliciós VirusTotal.
Intego va informar d'aquest compte de desenvolupador a Apple perquè se li revocava l'autoritat de signatura de certificats.
Per a més seguretat, es recomana als usuaris que instal·lin aplicacions principalment des de la Mac App Store i que pensin en el seu origen quan instal·leu aplicacions de fonts externes.
Petr Škuta 
Amaya Toman 
Daniel Hruska 