Üç ay önce, MacOS'u potansiyel olarak zararlı yazılımlardan koruması beklenen Gatekeeper işlevinde bir güvenlik açığı keşfedildi. İlk istismar girişimlerinin ortaya çıkması uzun sürmedi.
Ancak güvenlik uzmanı Filippo Cavallarin, uygulamanın imza kontrolünde bir sorun olduğunu ortaya çıkardı. Aslında özgünlük kontrolü belirli bir şekilde tamamen atlanabilir.
Şu anki haliyle Gatekeeper, harici sürücüleri ve ağ depolamasını "güvenli konumlar" olarak görüyor. Bu, herhangi bir uygulamanın bu konumlarda tekrar kontrol edilmeden çalıştırılmasına izin verdiği anlamına gelir. Bu şekilde kullanıcı, farkında olmadan bir paylaşılan sürücüyü veya depolamayı kurması için kolayca kandırılabilir. Bu klasördeki herhangi bir şey Gatekeeper tarafından kolayca atlanır.
Başka bir deyişle, tek bir imzalı başvuru, çok sayıda imzasız başvurunun önünü hızla açabilir. Cavallarin görev bilinciyle güvenlik kusurunu Apple'a bildirdi ve ardından yanıt için 90 gün bekledi. Bu sürenin sonunda yaptığı hatayı yayınlama hakkına sahip olur. Cupertino'dan hiç kimse onun girişimine yanıt vermedi.
Güvenlik açığından yararlanmaya yönelik ilk girişimler DMG dosyalarının ortaya çıkmasına neden oluyor
Bu arada güvenlik firması Intego, tam olarak bu güvenlik açığından yararlanmaya yönelik girişimleri ortaya çıkardı. Geçen haftanın sonlarında kötü amaçlı yazılım ekibi, kötü amaçlı yazılımı Cavallarin tarafından açıklanan yöntemi kullanarak dağıtma girişimini keşfetti.
Başlangıçta açıklanan hata bir ZIP dosyası kullanıyordu. Yeni teknik ise şansını bir disk görüntü dosyasıyla deniyor.
Disk görüntüsü ya .dmg uzantılı ISO 9660 formatında ya da doğrudan Apple'ın .dmg formatındaydı. Genellikle bir ISO görüntüsü .iso, .cdr uzantılarını kullanır, ancak macOS için .dmg (Apple Disk Image) çok daha yaygındır. Kötü amaçlı yazılımların, kötü amaçlı yazılımdan koruma programlarından kaçınmak için bu dosyaları kullanmaya çalıştığı ilk sefer değil.
Intego, 6 Haziran'da VirusTotal tarafından yakalanan toplam dört farklı örneği yakaladı. Bireysel bulgular arasındaki fark saat sırasına göreydi ve hepsi bir ağ yoluyla NFS sunucusuna bağlıydı.
Adobe Flash Player kılığına girmiş OSX/Surfbuyer reklam yazılımı
Uzmanlar, örneklerin OSX/Surfbuyer reklam yazılımına çarpıcı biçimde benzediğini bulmayı başardılar. Bu, kullanıcıları yalnızca web'de gezinirken rahatsız etmeyen bir reklam yazılımı kötü amaçlı yazılımıdır.
Dosyalar Adobe Flash Player yükleyicileri olarak gizlenmişti. Bu, temelde geliştiricilerin kullanıcıları Mac'lerine kötü amaçlı yazılım yüklemeye ikna etmeye çalışmasının en yaygın yoludur. Dördüncü örnek, geçmişte yüzlerce sahte Flash yükleyicisi için kullanılan geliştirici hesabı Mastura Fenny (2PVD64XRF3) tarafından imzalandı. Hepsi OSX/Surfbuyer reklam yazılımı kapsamına giriyor.
Şu ana kadar yakalanan örnekler geçici olarak bir metin dosyası oluşturmaktan başka bir şey yapmadı. Uygulamalar disk görüntülerine dinamik olarak bağlı olduğundan, sunucu konumunu istediğiniz zaman değiştirmek kolaydı. Üstelik dağıtılan kötü amaçlı yazılımı düzenlemek zorunda kalmadan. Bu nedenle, yaratıcıların, test ettikten sonra, içerdiği kötü amaçlı yazılım içeren "üretim" uygulamalarını zaten programlamış olmaları muhtemeldir. Artık VirusTotal kötü amaçlı yazılımdan koruma yazılımı tarafından yakalanmasına gerek yoktu.
Intego, bu geliştirici hesabını, sertifika imzalama yetkisinin iptal edilmesi için Apple'a bildirdi.
Daha fazla güvenlik için kullanıcılara uygulamaları öncelikle Mac App Store'dan yüklemeleri ve harici kaynaklardan uygulama yüklerken bunların kökenlerini düşünmeleri tavsiye ediliyor.
Petr Şkuta 
Amaya Toman 
Daniel Hruska 