Երեք ամիս առաջ խոցելիություն հայտնաբերվեց Gatekeeper ֆունկցիայի մեջ, որը պետք է պաշտպանի macOS-ը պոտենցիալ վնասակար ծրագրերից։ Շատ չպահանջվեց, որ չարաշահումների առաջին փորձերը ի հայտ եկան։
Այնուամենայնիվ, անվտանգության փորձագետ Ֆիլիպո Կավալարինը բացահայտել է հավելվածի ստորագրության ստուգման խնդիր: Իսկապես, իսկության ստուգումը կարելի է ամբողջությամբ շրջանցել որոշակի ձևով։
Ներկայիս ձևով Gatekeeper-ը արտաքին կրիչներն ու ցանցային պահեստը համարում է «անվտանգ վայրեր»: Սա նշանակում է, որ այն թույլ է տալիս ցանկացած հավելվածի աշխատել այս վայրերում՝ առանց նորից ստուգելու: Այսպիսով, օգտատերը կարող է հեշտությամբ խաբվել՝ անգիտակցաբար տեղադրել ընդհանուր դրայվ կամ պահեստ: Այդ թղթապանակում եղած ցանկացած բան այնուհետև հեշտությամբ շրջանցվում է Gatekeeper-ի կողմից:
Այլ կերպ ասած, մեկ ստորագրված դիմումը կարող է արագ ճանապարհ բացել շատ այլ, չստորագրվածների համար։ Cavallarin-ը պարտաճանաչ կերպով հայտնել է Apple-ին անվտանգության թերության մասին, այնուհետև սպասել է 90 օր պատասխանի: Այս ժամկետից հետո նա իրավունք ունի հրապարակել սխալը, որն ի վերջո արեց։ Նրա նախաձեռնությանը Կուպերտինոյից ոչ ոք չարձագանքեց։
Խոցելիությունը շահագործելու առաջին փորձերը հանգեցնում են DMG ֆայլերի
Միևնույն ժամանակ, Intego անվտանգության ընկերությունը բացահայտել է հենց այս խոցելիությունը օգտագործելու փորձերը: Անցյալ շաբաթվա վերջին չարամիտ ծրագրերի թիմը հայտնաբերեց չարամիտ ծրագրերը տարածելու փորձ՝ օգտագործելով Cavallarin-ի նկարագրած մեթոդը:
Ի սկզբանե նկարագրված սխալն օգտագործվում էր ZIP ֆայլ: Մյուս կողմից, նոր տեխնիկան իր բախտը փորձում է սկավառակի պատկերի ֆայլով:
Սկավառակի պատկերը կամ ISO 9660 ձևաչափով էր .dmg ընդլայնմամբ, կամ ուղղակիորեն Apple-ի .dmg ձևաչափով: Սովորաբար ISO պատկերն օգտագործում է .iso, .cdr ընդլայնումները, սակայն macOS-ի համար .dmg (Apple Disk Image) շատ ավելի տարածված է: Սա առաջին անգամը չէ, որ չարամիտ ծրագրերը փորձում են օգտագործել այս ֆայլերը՝ ըստ երևույթին, խուսափելու հակավիրուսային ծրագրերից։
Intego-ն հավաքել է ընդհանուր չորս տարբեր նմուշներ, որոնք գրավել են VirusTotal-ը հունիսի 6-ին: Առանձին գտածոների միջև տարբերությունը ժամերի կարգով էր, և դրանք բոլորը միացված էին NFS սերվերին ցանցային ճանապարհով:
OSX/Surfbuyer գովազդային ծրագիր՝ քողարկված որպես Adobe Flash Player
Փորձագետներին հաջողվել է պարզել, որ նմուշները զարմանալիորեն նման են OSX/Surfbuyer գովազդային ծրագրին: Սա adware չարամիտ ծրագիր է, որը նյարդայնացնում է օգտատերերին ոչ միայն համացանցը զննարկելիս:
Ֆայլերը քողարկվել են որպես Adobe Flash Player տեղադրողներ: Սա հիմնականում ամենատարածված ձևն է, որը մշակողները փորձում են համոզել օգտվողներին տեղադրել չարամիտ ծրագրեր իրենց Mac-ում: Չորրորդ նմուշը ստորագրվել է մշակողի՝ Mastura Fenny (2PVD64XRF3) հաշվի կողմից, որը նախկինում օգտագործվել է հարյուրավոր կեղծ Flash տեղադրողների համար: Նրանք բոլորն էլ ընկնում են OSX/Surfbuyer գովազդային ծրագրերի տակ:
Առայժմ գրավված նմուշները ոչինչ չեն արել, քան ժամանակավորապես ստեղծել տեքստային ֆայլ: Քանի որ հավելվածները դինամիկ կերպով կապված էին սկավառակի պատկերներում, հեշտ էր ցանկացած պահի փոխել սերվերի գտնվելու վայրը: Եվ դա առանց բաշխված չարամիտ ծրագրերը խմբագրելու: Հետևաբար, հավանական է, որ ստեղծողները, փորձարկումներից հետո, արդեն ծրագրավորել են «արտադրական» հավելվածներ պարունակվող չարամիտ ծրագրերով: Այն այլևս պետք չէր բռնել VirusTotal հակավնասակար ծրագրով:
Intego-ն այս ծրագրավորողի հաշիվը հայտնել է Apple-ին, որպեսզի չեղյալ համարվի վկայագրի ստորագրման լիազորությունը:
Լրացուցիչ անվտանգության համար օգտատերերին խորհուրդ է տրվում հավելվածներ տեղադրել հիմնականում Mac App Store-ից և մտածել դրանց ծագման մասին՝ արտաքին աղբյուրներից հավելվածներ տեղադրելիս:
Պետր Շկուտա 
Ամայա Թուման 
Դանիել Հրուսկա 