Trè mesi fà, una vulnerabilità hè stata scuperta in a funzione Gatekeeper, chì si suppone chì prutege macOS da software potenzialmente dannosu. Ùn pigghiò micca assai per chì i primi tentativi di abusu appariscenu.
Tuttavia, l'espertu di sicurità Filippo Cavallarin hà scupertu un prublema cù u cuntrollu di a firma di l'app stessu. In verità, u cuntrollu di l'autenticità pò esse completamente ignoratu in un certu modu.
In a so forma attuale, Gatekeeper cunsidereghja i dischi esterni è l'almacenamiento di rete cum'è "locu sicuri". Questu significa chì permette à qualsiasi applicazione di eseguisce in questi lochi senza cuntrollà di novu. In questu modu, l'utilizatore pò esse facilmente ingannatu in un saccu di muntà un drive o almacenamentu spartutu. Ogni cosa in quellu cartulare hè allora facilmente bypassatu da Gatekeeper.
In altre parolle, una sola applicazione firmata pò apre rapidamente a strada per parechje altre, micca firmate. Cavallarin hà debitamente signalatu u difettu di sicurità à Apple è dopu aspittatu 90 ghjorni per una risposta. Dopu stu periodu, hà u dirittu di publicà l'errore, chì hà eventualmente fattu. Nimu di Cupertino ùn hà rispostu à a so iniziativa.
I primi tentativi di sfruttà a vulnerabilità portanu à i schedarii DMG
Intantu, a cumpagnia di sicurità Intego hà scupertu tentativi di sfruttà esattamente sta vulnerabilità. A fine di a settimana passata, a squadra di malware hà scupertu un tentativu di distribuisce u malware cù u metudu descrittu da Cavallarin.
U bug urigginariamente descrittu hà utilizatu un schedariu ZIP. A nova tecnica, invece, prova a so furtuna cù un schedariu d'imaghjini di discu.
L'imaghjini di discu era o in u formatu ISO 9660 cù una estensione .dmg, o direttamente in u formatu .dmg d'Apple. Comu regula, una maghjina ISO usa l'estensioni .iso, .cdr, ma per macOS, .dmg (Apple Disk Image) hè assai più cumuni. Ùn hè micca a prima volta chì u malware prova di utilizà sti schedari, apparentemente per evità i prugrammi anti-malware.
Intego hà catturatu un totale di quattru campioni diffirenti catturati da VirusTotal u 6 di ghjugnu. A diffarenza trà e scuperte individuali era in l'ordine di l'ore, è eranu tutti cunnessi da una strada di rete à u servitore NFS.
Adware OSX/Surfbuyer disguised cum'è Adobe Flash Player
I sperti anu sappiutu truvà chì i campioni sò assai simili à l'adware OSX / Surfbuyer. Questu hè un malware adware chì fastidiu l'utilizatori micca solu mentre navigate in u web.
I schedari sò stati disfrazati cum'è installatori di Adobe Flash Player. Questu hè in fondu u modu più cumuni chì i sviluppatori cercanu di cunvince l'utilizatori à stallà malware in u so Mac. A quarta mostra hè stata firmata da u cuntu di sviluppatore Mastura Fenny (2PVD64XRF3), chì hè stata utilizata per centinaie di installatori di Flash falsi in u passatu. Tutti cadenu sottu adware OSX / Surfbuyer.
Finu a ora, i campioni catturati ùn anu fattu nunda, ma creà temporaneamente un schedariu di testu. Perchè l'applicazioni sò stati ligati dinamicamente in l'imaghjini di discu, era faciule cambià u locu di u servitore in ogni mumentu. È questu senza avè da edità u malware distribuitu. Hè dunque prubabile chì i creatori, dopu a prova, anu digià programatu l'applicazioni di "produzzione" cù malware cuntenuti. Ùn avia più da esse pigliatu da l'anti-malware VirusTotal.
Intego hà signalatu stu cuntu di sviluppatore à Apple per avè a so autorità di firmamentu di certificatu revocata.
Per una sicurità aghjunta, l'utilizatori sò cunsigliati per installà app principarmenti da a Mac App Store è per pensà à a so origine quandu installanu app da fonti esterne.
Petr Škuta 
Amaya Toman 
Daniel Hruska 