Үш ай бұрын Gatekeeper функциясында осалдық анықталды, ол macOS жүйесін ықтимал зиянды бағдарламалық құралдан қорғайды. Қиянаттың алғашқы әрекеттері пайда болғанша көп уақыт өтпеді.
Gatekeeper Mac қолданбаларын басқаруға арналған. Apple қол қоймаған бағдарламалық құрал жүйе оны ықтимал қауіпті деп белгілейді және орнату алдында қосымша пайдаланушы рұқсатын талап етеді.
Дегенмен, қауіпсіздік сарапшысы Филиппо Кавалларин қолданбаның қолтаңбасын тексерудің өзінде ақауды анықтады. Шынында да, түпнұсқалық тексеруді белгілі бір жолмен толығымен айналып өтуге болады.
Қазіргі түрінде Gatekeeper сыртқы дискілер мен желілік жадты «қауіпсіз орындар» ретінде қарастырады. Бұл кез келген қолданбаның осы орындарда қайта тексерілмей жұмыс істеуіне мүмкіндік береді дегенді білдіреді. Осылайша, пайдаланушы ортақ дискіні немесе жадты білместен оңай алданып қалуы мүмкін. Сол қалтадағы кез келген нәрсені Gatekeeper оңай айналып өтеді.
Басқаша айтқанда, бір қол қойылған қосымша көптеген басқа, қол қойылмаған қосымшаларға тез жол ашады. Кавалларин Apple компаниясына қауіпсіздік ақауы туралы мұқият хабарлады, содан кейін жауап алу үшін 90 күн күтті. Осы кезеңнен кейін ол қатені жариялауға құқылы, ол ақырында жасады. Оның бастамасына Купертинодан ешкім жауап бермеді.
Осалдықты пайдаланудың алғашқы әрекеттері DMG файлдарына әкеледі
Сонымен қатар, Intego қауіпсіздік фирмасы дәл осы осалдықты пайдалану әрекеттерін анықтады. Өткен аптаның соңында зиянды бағдарлама тобы Cavallarin сипаттаған әдіс арқылы зиянды бағдарламаны тарату әрекетін тапты.
Бастапқыда сипатталған қате ZIP файлын пайдаланды. Жаңа техника, керісінше, дискідегі кескін файлымен өз бақытын сынап көреді.
Диск кескіні .dmg кеңейтімі бар ISO 9660 пішімінде немесе тікелей Apple компаниясының .dmg пішімінде болды. Әдетте, ISO кескіні .iso, .cdr кеңейтімдерін пайдаланады, бірақ macOS үшін .dmg (Apple Disk Image) әлдеқайда кең таралған. Зиянды бағдарлама антивирустық бағдарламаларды болдырмау үшін бұл файлдарды бірінші рет пайдаланбайды.
Intego 6 маусымда VirusTotal түсірген төрт түрлі үлгіні түсірді. Жеке нәтижелер арасындағы айырмашылық сағат тәртібінде болды және олардың барлығы NFS серверіне желі жолы арқылы қосылды.
Adobe Flash Player ретінде жасырылған OSX/Surfbuyer жарнамалық бағдарламасы
Сарапшылар үлгілердің OSX/Surfbuyer жарнамалық бағдарламасына өте ұқсас екенін анықтады. Бұл пайдаланушыларды интернетті шолу кезінде ғана емес тітіркендіретін жарнамалық зиянды бағдарлама.
Файлдар Adobe Flash Player орнатушылары ретінде жасырылған. Бұл негізінен әзірлеушілер пайдаланушыларды Mac жүйесіне зиянды бағдарламаны орнатуға сендіруге тырысатын ең кең таралған әдіс. Төртінші үлгіге бұрын жүздеген жалған Flash орнатушылары үшін пайдаланылған Mastura Fenny (2PVD64XRF3) әзірлеуші тіркелгісі қол қойған. Олардың барлығы OSX/Surfbuyer жарнамалық бағдарламасына жатады.
Осы уақытқа дейін түсірілген үлгілер мәтіндік файлды уақытша жасаудан басқа ештеңе істемеді. Қолданбалар диск кескіндерінде динамикалық түрде байланыстырылғандықтан, сервер орнын кез келген уақытта өзгерту оңай болды. Және бұл таратылған зиянды бағдарламаны өңдеудің қажеті жоқ. Сондықтан жасаушылар тестілеуден кейін құрамында зиянды бағдарламалары бар «өндірістік» қолданбаларды бағдарламалап қойған болуы мүмкін. Оны енді VirusTotal антивирустық бағдарламасы ұстап алудың қажеті жоқ.
Intego осы әзірлеуші тіркелгісін Apple компаниясына оның сертификатқа қол қою өкілеттігін қайтарып алу үшін хабарлады.
Қосымша қауіпсіздік үшін пайдаланушыларға қолданбаларды негізінен Mac App Store дүкенінен орнату және қолданбаларды сыртқы көздерден орнату кезінде олардың шығу тегі туралы ойлану ұсынылады.
Петр Шкута 
Амая Томан 
Даниэль Хруска 