Virun dräi Méint gouf eng Schwachstelle an der Gatekeeper Funktioun entdeckt, déi macOS virun potenziell schiedlech Software schützen soll. Et huet net laang gedauert bis déi éischt Versich vu Mëssbrauch opgetaucht sinn.
Wéi och ëmmer, Sécherheetsexpert Filippo Cavallarin huet e Problem mat der Ënnerschrëft vun der App selwer entdeckt. Tatsächlech kann d'Authentizitéitskontroll op eng gewësse Manéier komplett ëmgoen.
A senger aktueller Form betruecht Gatekeeper externen Drive an Netzwierkspeicher als "sécher Plazen". Dëst bedeit datt all Applikatioun erlaabt ass op dëse Plazen ze lafen ouni nach eng Kéier ze iwwerpréiwen, sou kann de Benotzer ganz einfach gefeelt ginn fir onbewosst e gemeinsame Drive oder Späicher ze montéieren. Alles an deem Dossier gëtt dann einfach vum Gatekeeper ëmgoen.
An anere Wierder, eng eenzeg ënnerschriwwen Applikatioun ka séier de Wee fir vill aner opmaachen, net ënnerschriwwen. De Cavallarin huet d'Sécherheetsfehler pflichteg un Apple gemellt an duerno 90 Deeg op eng Äntwert gewaart. No dëser Period huet hien d'Recht de Feeler ze publizéieren, wat hien schlussendlech gemaach huet. Keen aus Cupertino huet op seng Initiativ reagéiert.
Déi éischt Versuche fir d'Schwachheet auszenotzen féieren zu DMG Dateien
Mëttlerweil huet d'Sécherheetsfirma Intego Versich opgedeckt fir genau dës Schwachstelle auszenotzen. Spéit d'lescht Woch huet d'Malware-Team e Versuch entdeckt d'Malware ze verdeelen mat der Method beschriwwen vum Cavallarin.
De Käfer ursprénglech beschriwwen huet eng ZIP Datei benotzt. Déi nei Technik, op der anerer Säit, probéiert säi Gléck mat enger Disk Image Datei.
D'Disk Image war entweder am ISO 9660 Format mat enger .dmg Extensioun, oder direkt am Apple .dmg Format. Normalerweis benotzt en ISO Bild d'Extensiounen .iso, .cdr, awer fir macOS ass .dmg (Apple Disk Image) vill méi heefeg. Et ass net déi éischte Kéier datt Malware probéiert dës Dateien ze benotzen, anscheinend fir Anti-Malware Programmer ze vermeiden.
Intego huet insgesamt véier verschidde Proben gefaange vum VirusTotal de 6. Juni. Den Ënnerscheed tëscht den individuellen Erkenntnisser war an der Uerdnung vu Stonnen, a si waren all vun engem Netzwierkwee op den NFS-Server verbonnen.
OSX/Surfbuyer Adware verkleed als Adobe Flash Player
Experten hunn et fäerdeg bruecht ze fannen datt d'Proben opfälleg ähnlech wéi d'OSX / Surfbuyer Adware sinn. Dëst ass Adware Malware déi d'Benotzer nervt net nëmme beim Surfen um Internet.
D'Dateie goufen als Adobe Flash Player Installateuren verkleed. Dëst ass grondsätzlech déi allgemeng Manéier fir Entwéckler ze probéieren d'Benotzer ze iwwerzeegen Malware op hirem Mac z'installéieren. Déi véiert Probe gouf vum Entwécklerkonto Mastura Fenny (2PVD64XRF3) ënnerschriwwen, deen an der Vergaangenheet fir Honnerte vu gefälschte Flash Installateuren benotzt gouf. Si falen all ënner OSX / Surfbuyer Adware.
Bis elo hunn déi ageholl Proben näischt gemaach wéi temporär eng Textdatei erstellen. Well d'Applikatiounen dynamesch an den Disk-Biller verlinkt waren, war et einfach d'Serverplaz zu all Moment z'änneren. An dat ouni déi verdeelt Malware ze änneren. Et ass also wahrscheinlech datt d'Creatoren, nom Test, scho "Produktioun" Uwendungen mat enthale Malware programméiert hunn. Et huet net méi misse vum VirusTotal Anti-Malware gefaange ginn.
Intego huet dësen Entwécklerkonto un Apple gemellt fir seng Zertifikat Ënnerschrëft Autoritéit zréckgezunn ze hunn.
Fir zousätzlech Sécherheet ginn d'Benotzer ugeroden Apps haaptsächlech aus dem Mac App Store z'installéieren an iwwer hir Hierkonft ze denken wann se Apps aus externe Quellen installéieren.
Petr Škuta 
Amaya Toman 
Daniel Hruska 