სამი თვის წინ აღმოაჩინეს დაუცველობა Gatekeeper ფუნქციაში, რომელიც სავარაუდოდ დაიცავს macOS-ს პოტენციურად მავნე პროგრამული უზრუნველყოფისგან. დიდი ხანი არ გასულა, რომ ბოროტად გამოყენების პირველი მცდელობები გამოჩნდა.
ამასთან, უსაფრთხოების ექსპერტმა ფილიპო კავალარინმა აღმოაჩინა პრობლემა თავად აპლიკაციის ხელმოწერის შემოწმებასთან დაკავშირებით. მართლაც, ავთენტურობის შემოწმება შეიძლება სრულიად გვერდის ავლით გარკვეული გზით.
მისი ამჟამინდელი ფორმით, Gatekeeper განიხილავს გარე დისკებს და ქსელის შენახვას, როგორც "უსაფრთხო ადგილებს". ეს ნიშნავს, რომ ის საშუალებას აძლევს ნებისმიერ აპლიკაციას იმუშაოს ამ ადგილებში ხელახლა შემოწმების გარეშე. ამ გზით, მომხმარებელი შეიძლება ადვილად მოატყუოს და გაუცნობიერებლად დაამონტაჟოს საერთო დისკი ან მეხსიერება. ამ საქაღალდეში ყველაფერი ადვილად გვერდის ავლით ხდება Gatekeeper-ის მიერ.
სხვა სიტყვებით რომ ვთქვათ, ერთ ხელმოწერილ აპლიკაციას შეუძლია სწრაფად გაუხსნას გზა მრავალი სხვა, ხელმოუწერელი. Cavallarin-მა თავდაჯერებულად შეატყობინა Apple-ს უსაფრთხოების ხარვეზის შესახებ და შემდეგ 90 დღე დაელოდა პასუხს. ამ პერიოდის შემდეგ მას უფლება აქვს გამოაქვეყნოს შეცდომა, რაც საბოლოოდ გააკეთა. მის ინიციატივას კუპერტინოდან არავინ გამოეხმაურა.
დაუცველობის გამოყენების პირველი მცდელობები იწვევს DMG ფაილებს
იმავდროულად, უსაფრთხოების ფირმა Intego-მ აღმოაჩინა მცდელობები, რომ გამოიყენოს ზუსტად ეს დაუცველობა. გასული კვირის ბოლოს, მავნე პროგრამის გუნდმა აღმოაჩინა მავნე პროგრამის გავრცელების მცდელობა Cavallarin-ის მიერ აღწერილი მეთოდის გამოყენებით.
თავდაპირველად აღწერილი შეცდომა იყენებდა ZIP ფაილს. ახალი ტექნიკა კი თავის მხრივ ცდის ბედს დისკის გამოსახულების ფაილით.
დისკის სურათი იყო ISO 9660 ფორმატში .dmg გაფართოებით, ან პირდაპირ Apple-ის .dmg ფორმატში. ჩვეულებრივ, ISO გამოსახულება იყენებს გაფართოებებს .iso, .cdr, მაგრამ .dmg (Apple Disk Image) ბევრად უფრო გავრცელებულია macOS-ისთვის. ეს არ არის პირველი შემთხვევა, როდესაც მავნე პროგრამა ცდილობს გამოიყენოს ეს ფაილები, როგორც ჩანს, მავნე პროგრამების თავიდან ასაცილებლად.
Intego-მ 6 ივნისს VirusTotal-ის მიერ გადაღებული სულ ოთხი განსხვავებული ნიმუში დააფიქსირა. განსხვავება ინდივიდუალურ დასკვნებს შორის იყო საათების თანმიმდევრობით და ისინი ყველა დაკავშირებული იყო ქსელის ბილიკით NFS სერვერთან.
ექსპერტებმა შეძლეს აღმოაჩინეს, რომ ნიმუშები საოცრად ჰგავს OSX/Surfbuyer adware-ს. ეს არის სარეკლამო პროგრამა, რომელიც აღიზიანებს მომხმარებლებს არა მხოლოდ ინტერნეტის დათვალიერებისას.
ფაილები იყო შენიღბული, როგორც Adobe Flash Player ინსტალერი. ეს ძირითადად ყველაზე გავრცელებული გზაა დეველოპერები, რომლებიც ცდილობენ დაარწმუნონ მომხმარებლები, დააინსტალირონ მავნე პროგრამა მათ Mac-ზე. მეოთხე ნიმუშს ხელი მოაწერა დეველოპერის ანგარიშმა Mastura Fenny (2PVD64XRF3), რომელიც წარსულში გამოიყენებოდა ასობით ყალბი Flash ინსტალერისთვის. ისინი ყველა ექვემდებარება OSX/Surfbuyer adware-ს.
ჯერჯერობით, აღებულ ნიმუშებს არაფერი გაუკეთებიათ, გარდა ტექსტური ფაილის დროებით შექმნისა. იმის გამო, რომ აპლიკაციები დინამიურად იყო დაკავშირებული დისკის სურათებში, ადვილი იყო სერვერის მდებარეობის შეცვლა ნებისმიერ დროს. და ეს განაწილებული მავნე პროგრამის შეცვლის გარეშე. ამიტომ სავარაუდოა, რომ შემქმნელებმა ტესტირების შემდეგ უკვე დააპროგრამეს „საწარმოო“ აპლიკაციები შემავალი მავნე პროგრამებით. ის აღარ იყო საჭირო VirusTotal ანტი-მავნე პროგრამის მიერ.
ინტეგომ შეატყობინა დეველოპერის ამ ანგარიშს Apple-ს, რათა გაუქმდეს სერტიფიკატის ხელმოწერის უფლებამოსილება.
დამატებითი უსაფრთხოებისთვის მომხმარებლებს ურჩევენ დააინსტალირონ აპები ძირითადად Mac App Store-დან და იფიქრონ მათ წარმოშობაზე აპლიკაციების გარე წყაროებიდან ინსტალაციისას.
პეტრ შკუტა 
ამაია ტომანი 
დანიელ ჰრუსკა 