Twa mwa de sa, yo te dekouvri yon vilnerabilite nan fonksyon Gatekeeper, ki sipoze pwoteje macOS kont lojisyèl ki kapab danjere. Li pa t pran tan pou premye tantativ abi parèt.
Sepandan, ekspè sekirite Filippo Cavallarin te dekouvri yon pwoblèm ak chèk siyati aplikasyon an tèt li. Vreman vre, chèk la otantisite ka konplètman iyore nan yon sèten fason.
Nan fòm li ye kounye a, Gatekeeper konsidere kondui ekstèn ak depo rezo kòm "kote an sekirite". Sa vle di ke nenpòt aplikasyon yo pral pèmèt yo kouri nan kote sa yo san yo pa tcheke ankò. Nan fason sa a, itilizatè a ka fasil twonpe nan enkonsyan monte yon kondwi pataje oswa depo. Lè sa a, nenpòt bagay ki nan katab sa a fasil iyore pa Gatekeeper.
Nan lòt mo, yon sèl aplikasyon siyen ka byen vit louvri wout la pou anpil lòt, moun ki pa siyen. Cavallarin te rapòte defo sekirite a bay Apple epi li te tann 90 jou pou yon repons. Apre peryòd sa a, li gen dwa pibliye erè a, ki evantyèlman li te fè. Pa gen moun ki soti nan Cupertino reponn a inisyativ li.
Premye tantativ pou eksplwate vilnerabilite a mennen nan dosye DMG
Pandan se tan, konpayi sekirite Intego te dekouvri tantativ pou eksplwate egzakteman vilnerabilite sa a. Nan fen semèn pase a, ekip malveyan yo te dekouvri yon tantativ pou distribye malveyan yo lè l sèvi avèk metòd Cavallarin dekri a.
Ensèk yo te dekri orijinal la te itilize yon dosye ZIP. Nouvo teknik la, nan lòt men an, eseye chans li yo ak yon dosye imaj ki gen kapasite.
Imaj la ki gen kapasite te swa nan fòma ISO 9660 ak yon ekstansyon .dmg, oswa dirèkteman nan fòma .dmg Apple la. Souvan, yon imaj ISO itilize ekstansyon yo .iso, .cdr, men pou macOS, .dmg (Apple Disk Imaj) se pi plis komen. Se pa premye fwa ke malveyan eseye sèvi ak dosye sa yo, aparamman pou fè pou evite pwogram anti-malveyan.
Intego te kaptire yon total de kat echantiyon diferan te kaptire pa VirusTotal sou 6 jen. Diferans ki genyen ant rezilta endividyèl yo te nan lòd la nan èdtan, epi yo tout te konekte pa yon chemen rezo a sèvè NFS la.
OSX/Surfbuyer publisitèr degize kòm Adobe Flash Player
Ekspè jere yo jwenn ke echantiyon yo se frapan menm jan ak publisitèr OSX/Surfbuyer. Sa a se malveyan publisitèr ki anbete itilizatè yo pa sèlman pandan y ap navige sou entènèt la.
Fichye yo te degize kòm enstalatè Adobe Flash Player. Sa a se fondamantalman fason ki pi komen devlopè yo eseye konvenk itilizatè yo enstale malveyan sou Mac yo. Katriyèm echantiyon an te siyen pa kont pwomotè Mastura Fenny (2PVD64XRF3), ki te itilize pou dè santèn de enstalatè fo Flash nan tan lontan an. Yo tout tonbe anba publisitèr OSX/Surfbuyer.
Jiskaprezan, echantiyon yo te kaptire yo pa fè anyen men pou yon ti tan kreye yon dosye tèks. Paske aplikasyon yo te dinamikman lye nan imaj yo ki gen kapasite, li te fasil chanje kote sèvè a nenpòt ki lè. Epi sa san yo pa oblije edite malveyan distribiye yo. Se poutèt sa, li posib ke kreyatè yo, apre tès la, te deja pwograme aplikasyon "pwodiksyon" ak malveyan ki genyen. VirusTotal anti-malveyan yo pa t dwe kenbe l ankò.
Intego te rapòte kont pwomotè sa a bay Apple pou yo te revoke otorite siyen sètifika li yo.
Pou plis sekirite, itilizatè yo konseye yo enstale aplikasyon prensipalman nan Mac App Store la epi reflechi sou orijin yo lè yo enstale aplikasyon ki soti nan sous ekstèn.
Petr Škuta 
Amaya Toman 
Danyèl Hruska 