Tiga bulan lalu, kerentanan ditemukan pada fungsi Gatekeeper, yang seharusnya melindungi macOS dari perangkat lunak yang berpotensi berbahaya. Tidak butuh waktu lama hingga upaya pelecehan pertama kali muncul.
Namun, pakar keamanan Filippo Cavallarin telah menemukan masalah dengan pemeriksaan tanda tangan aplikasi itu sendiri. Memang, pemeriksaan keaslian dapat dilewati sepenuhnya dengan cara tertentu.
Dalam bentuknya yang sekarang, Gatekeeper menganggap drive eksternal dan penyimpanan jaringan sebagai "lokasi aman". Artinya, aplikasi apa pun diperbolehkan berjalan di lokasi tersebut tanpa melakukan pengecekan ulang sehingga pengguna dapat dengan mudah tertipu untuk secara tidak sengaja memasang drive atau penyimpanan bersama. Apa pun yang ada di folder itu kemudian dengan mudah dilewati oleh Gatekeeper.
Dengan kata lain, satu aplikasi yang ditandatangani dapat dengan cepat membuka jalan bagi banyak aplikasi lain yang tidak ditandatangani. Cavallarin dengan patuh melaporkan kelemahan keamanan tersebut kepada Apple dan kemudian menunggu 90 hari untuk mendapatkan tanggapan. Setelah periode ini, dia berhak mempublikasikan kesalahannya, yang akhirnya dia lakukan. Tak seorang pun dari Cupertino menanggapi inisiatifnya.
Upaya pertama untuk mengeksploitasi kerentanan menghasilkan file DMG
Sementara itu, perusahaan keamanan Intego telah menemukan upaya untuk mengeksploitasi kerentanan ini. Akhir pekan lalu, tim malware menemukan upaya untuk mendistribusikan malware menggunakan metode yang dijelaskan oleh Cavallarin.
Bug yang awalnya dijelaskan menggunakan file ZIP. Teknik baru, di sisi lain, mencoba peruntungannya dengan file image disk.
Gambar disk dalam format ISO 9660 dengan ekstensi .dmg, atau langsung dalam format .dmg Apple. Umumnya, image ISO menggunakan ekstensi .iso, .cdr, tetapi untuk macOS, .dmg (Apple Disk Image) jauh lebih umum. Ini bukan pertama kalinya malware mencoba menggunakan file-file ini, tampaknya untuk menghindari program anti-malware.
Intego menangkap total empat sampel berbeda yang diambil oleh VirusTotal pada 6 Juni. Perbedaan antara temuan individu terletak pada urutan jam, dan semuanya terhubung melalui jalur jaringan ke server NFS.
Adware OSX/Surfbuyer menyamar sebagai Adobe Flash Player
Para ahli berhasil menemukan bahwa sampel tersebut sangat mirip dengan adware OSX/Surfbuyer. Ini adalah malware adware yang mengganggu pengguna tidak hanya saat menjelajahi web.
File-file tersebut disamarkan sebagai penginstal Adobe Flash Player. Ini pada dasarnya adalah cara paling umum yang dilakukan pengembang untuk mencoba meyakinkan pengguna agar memasang malware di Mac mereka. Sampel keempat ditandatangani oleh akun pengembang Mastur Fenny (2PVD64XRF3), yang telah digunakan untuk ratusan penginstal Flash palsu di masa lalu. Semuanya termasuk dalam adware OSX/Surfbuyer.
Sejauh ini, sampel yang diambil tidak melakukan apa pun selain membuat file teks untuk sementara. Karena aplikasi dihubungkan secara dinamis dalam image disk, lokasi server dapat diubah dengan mudah kapan saja. Dan itu tanpa harus mengedit malware yang didistribusikan. Oleh karena itu, kemungkinan besar pembuatnya, setelah pengujian, telah memprogram aplikasi "produksi" yang mengandung malware. Itu tidak lagi harus ditangkap oleh anti-malware VirusTotal.
Intego melaporkan akun pengembang ini ke Apple agar otoritas penandatanganan sertifikatnya dicabut.
Untuk keamanan tambahan, pengguna disarankan untuk menginstal aplikasi terutama dari Mac App Store dan memikirkan asal aplikasi tersebut saat menginstal aplikasi dari sumber eksternal.
Petr Škuta 
Amaya Toman 
Daniel Hruska 