Drie maanden geleden werd er een kwetsbaarheid ontdekt in de Gatekeeper-functie, die macOS moet beschermen tegen potentieel schadelijke software. Het duurde niet lang voordat de eerste pogingen tot misbruik de kop opstaken.
Beveiligingsexpert Filippo Cavallarin heeft echter een probleem ontdekt met de handtekeningcontrole van de app zelf. De echtheidscontrole kan op een bepaalde manier zelfs volledig worden omzeild.
In zijn huidige vorm beschouwt Gatekeeper externe schijven en netwerkopslag als "veilige locaties". Dit betekent dat elke applicatie op deze locaties mag draaien zonder opnieuw te controleren. Op deze manier kan de gebruiker gemakkelijk worden misleid om onbewust een gedeelde schijf of opslag te koppelen. Alles in die map wordt vervolgens gemakkelijk omzeild door Gatekeeper.
Met andere woorden: één ondertekende aanvraag kan snel de weg vrijmaken voor vele andere, niet-ondertekende aanvragen. Cavallarin rapporteerde plichtsgetrouw het beveiligingslek aan Apple en wachtte vervolgens 90 dagen op een reactie. Na deze periode heeft hij het recht om de fout te publiceren, wat hij uiteindelijk ook heeft gedaan. Niemand uit Cupertino reageerde op zijn initiatief.
De eerste pogingen om het beveiligingslek te misbruiken leiden tot DMG-bestanden
Ondertussen heeft beveiligingsbedrijf Intego pogingen ontdekt om precies dit beveiligingslek te misbruiken. Eind vorige week ontdekte het malwareteam een poging om de malware te verspreiden via de door Cavallarin beschreven methode.
De oorspronkelijk beschreven bug gebruikte een ZIP-bestand. De nieuwe techniek beproeft daarentegen zijn geluk met een schijfkopiebestand.
De schijfkopie had de ISO 9660-indeling met de extensie .dmg, of rechtstreeks de .dmg-indeling van Apple. Normaal gesproken gebruikt een ISO-image de extensies .iso, .cdr, maar voor macOS is .dmg (Apple Disk Image) veel gebruikelijker. Het is niet de eerste keer dat malware deze bestanden probeert te gebruiken, blijkbaar om antimalwareprogramma's te omzeilen.
Intego heeft op 6 juni in totaal vier verschillende monsters vastgelegd die door VirusTotal zijn vastgelegd. Het verschil tussen de afzonderlijke bevindingen lag in de orde van uren, en ze waren allemaal via een netwerkpad verbonden met de NFS-server.
OSX/Surfbuyer-adware vermomd als Adobe Flash Player
Deskundigen zijn erin geslaagd te ontdekken dat de voorbeelden opvallend veel lijken op de OSX/Surfbuyer-adware. Dit is adware-malware die gebruikers niet alleen irriteert tijdens het surfen op internet.
De bestanden waren vermomd als Adobe Flash Player-installatieprogramma's. Dit is eigenlijk de meest gebruikelijke manier waarop ontwikkelaars gebruikers proberen te overtuigen malware op hun Mac te installeren. Het vierde voorbeeld is ondertekend door het ontwikkelaarsaccount Mastur Fenny (2PVD64XRF3), dat in het verleden voor honderden valse Flash-installatieprogramma's is gebruikt. Ze vallen allemaal onder de OSX/Surfbuyer-adware.
Tot nu toe hebben de vastgelegde monsters niets anders gedaan dan tijdelijk een tekstbestand maken. Omdat de applicaties dynamisch gekoppeld waren in de schijfimages, was het eenvoudig om de serverlocatie op elk moment te wijzigen. En dat zonder dat je de verspreide malware hoeft te bewerken. Het is daarom waarschijnlijk dat de makers, na testen, al ‘productie’-applicaties hebben geprogrammeerd met ingesloten malware. Het hoefde niet langer te worden onderschept door de VirusTotal-antimalware.
Intego rapporteerde dit ontwikkelaarsaccount aan Apple, zodat de ondertekeningsbevoegdheid voor certificaten werd ingetrokken.
Voor extra veiligheid wordt gebruikers geadviseerd om apps voornamelijk vanuit de Mac App Store te installeren en na te denken over de herkomst ervan bij het installeren van apps van externe bronnen.
Petr Skuta 
Amaya Toman 
Daniël Hruska 