Uch oy oldin Gatekeeper funksiyasida zaiflik aniqlangan, u macOS’ni potentsial zararli dasturlardan himoya qilishi kerak edi. Birinchi suiiste'mol urinishlari paydo bo'lishi uchun ko'p vaqt o'tmadi.
Gatekeeper Mac ilovalarini boshqarish uchun mo'ljallangan. Apple tomonidan imzolanmagan dasturiy ta'minot keyin tizim tomonidan potentsial xavfli deb belgilangan va o'rnatishdan oldin qo'shimcha foydalanuvchi ruxsatini talab qiladi.
Biroq, xavfsizlik bo'yicha mutaxassis Filippo Kavallarin ilova imzosini tekshirishning o'zi bilan bog'liq muammoni aniqladi. Darhaqiqat, haqiqiylikni tekshirishni ma'lum bir tarzda butunlay chetlab o'tish mumkin.
Hozirgi shaklda Gatekeeper tashqi drayvlar va tarmoq xotirasini "xavfsiz joylar" deb hisoblaydi. Bu shuni anglatadiki, u har qanday ilovani ushbu joylarda qayta tekshirmasdan ishlashiga imkon beradi, shuning uchun foydalanuvchi o'zi bilmagan holda umumiy disk yoki xotirani o'rnatishga aldanishi mumkin. Bu jilddagi hamma narsa Gatekeeper tomonidan osongina chetlab o'tiladi.
Boshqacha qilib aytadigan bo'lsak, bitta imzolangan dastur boshqa ko'plab imzosizlarga tezda yo'l ochishi mumkin. Cavallarin Apple kompaniyasiga xavfsizlik kamchiligi haqida ehtiyotkorlik bilan xabar berdi va keyin javobni 90 kun kutdi. Bu muddatdan keyin u xatoni e'lon qilish huquqiga ega bo'lib, u oxir-oqibat qilgan. Kupertinodan hech kim uning tashabbusiga javob bermadi.
Zaiflikdan foydalanishga birinchi urinishlar DMG fayllariga olib keladi
Ayni paytda, Intego xavfsizlik firmasi aynan shu zaiflikdan foydalanishga urinishlarni aniqladi. O'tgan hafta oxirida zararli dastur jamoasi Cavallarin tomonidan tasvirlangan usuldan foydalangan holda zararli dasturni tarqatish urinishini aniqladi.
Dastlab tasvirlangan xato ZIP faylidan foydalangan. Yangi texnika, aksincha, diskdagi tasvir fayli bilan o'z omadini sinab ko'radi.
Disk tasviri .dmg kengaytmali ISO 9660 formatida yoki to'g'ridan-to'g'ri Apple .dmg formatida edi. Odatda, ISO tasviri .iso, .cdr kengaytmalaridan foydalanadi, ammo macOS uchun .dmg (Apple Disk Image) ancha keng tarqalgan. Zararli dasturlar bu fayllardan foydalanishga birinchi marta urinayotgani yo'q, shekilli, zararli dasturlarga qarshi dasturlardan qochish uchun.
Intego 6-iyun kuni VirusTotal tomonidan olingan jami to'rt xil namunani oldi. Shaxsiy topilmalar orasidagi farq soatlar bo'yicha edi va ularning barchasi NFS serveriga tarmoq yo'li orqali ulangan.
Adobe Flash Player sifatida niqoblangan OSX/Surfbuyer reklama dasturi
Mutaxassislar namunalar OSX/Surfbuyer reklama dasturiga juda o'xshashligini aniqlashga muvaffaq bo'lishdi. Bu reklama dasturlari bo'lib, foydalanuvchilarni nafaqat internetni ko'rish paytida bezovta qiladi.
Fayllar Adobe Flash Player o'rnatuvchisi sifatida yashiringan. Bu, asosan, ishlab chiquvchilar foydalanuvchilarni Mac-ga zararli dasturlarni o'rnatishga ishontirishning eng keng tarqalgan usuli. To'rtinchi namunaga Mastura Fenny (2PVD64XRF3) hisob qaydnomasi imzolangan bo'lib, u ilgari yuzlab soxta Flash o'rnatuvchilar uchun ishlatilgan. Ularning barchasi OSX/Surfbuyer reklama dasturi ostida.
Hozircha olingan namunalar vaqtinchalik matn faylini yaratishdan boshqa hech narsa qilmadi. Ilovalar diskdagi tasvirlarda dinamik ravishda bog'langanligi sababli istalgan vaqtda server manzilini o'zgartirish oson edi. Va bu tarqatilgan zararli dasturlarni tahrir qilmasdan. Shuning uchun yaratuvchilar sinovdan o'tgandan so'ng allaqachon zararli dasturlarga ega "ishlab chiqarish" dasturlarini dasturlashtirgan bo'lishi mumkin. Endi uni VirusTotal anti-malware tomonidan ushlash shart emas edi.
Intego ushbu ishlab chiquvchi akkauntini sertifikat imzolash vakolatini bekor qilish uchun Apple kompaniyasiga xabar qildi.
Qo'shimcha xavfsizlik uchun foydalanuvchilarga ilovalarni birinchi navbatda Mac App Store do'konidan o'rnatish va tashqi manbalardan ilovalarni o'rnatishda ularning kelib chiqishi haqida o'ylash tavsiya etiladi.
Petr Škuta 
Amaya Toman 
Daniel Xruska 