तीन महीने पहले, गेटकीपर फ़ंक्शन में एक भेद्यता की खोज की गई थी, जो संभावित रूप से हानिकारक सॉफ़्टवेयर से macOS की रक्षा करने वाला है। दुर्व्यवहार के पहले प्रयास सामने आने में ज़्यादा समय नहीं लगा।
हालाँकि, सुरक्षा विशेषज्ञ फ़िलिपो कैवेलरिन ने ऐप के हस्ताक्षर जाँच में ही एक समस्या का खुलासा किया है। दरअसल, प्रामाणिकता जांच को एक निश्चित तरीके से पूरी तरह से दरकिनार किया जा सकता है।
अपने वर्तमान स्वरूप में, गेटकीपर बाहरी ड्राइव और नेटवर्क स्टोरेज को "सुरक्षित स्थान" मानता है। इसका मतलब यह है कि यह किसी भी एप्लिकेशन को दोबारा जांच किए बिना इन स्थानों पर चलने की अनुमति देता है। इस तरह, उपयोगकर्ता को अनजाने में साझा ड्राइव या स्टोरेज को माउंट करने के लिए आसानी से धोखा दिया जा सकता है। उस फ़ोल्डर में मौजूद किसी भी चीज़ को गेटकीपर द्वारा आसानी से बायपास कर दिया जाता है।
दूसरे शब्दों में, एक हस्ताक्षरित आवेदन कई अन्य, अहस्ताक्षरित आवेदनों के लिए रास्ता खोल सकता है। कैवलारिन ने कर्तव्यनिष्ठापूर्वक Apple को सुरक्षा दोष की सूचना दी और फिर प्रतिक्रिया के लिए 90 दिनों तक प्रतीक्षा की। इस अवधि के बाद, वह त्रुटि प्रकाशित करने का हकदार है, जो उसने अंततः किया। क्यूपर्टिनो से किसी ने भी उनकी पहल का जवाब नहीं दिया।
भेद्यता का फायदा उठाने का पहला प्रयास DMG फ़ाइलों की ओर ले जाता है
इस बीच, सुरक्षा फर्म इंटेगो ने इसी भेद्यता का फायदा उठाने के प्रयासों का खुलासा किया है। पिछले सप्ताह के अंत में, मैलवेयर टीम ने कैवलारिन द्वारा वर्णित विधि का उपयोग करके मैलवेयर वितरित करने के प्रयास की खोज की।
मूल रूप से वर्णित बग में एक ज़िप फ़ाइल का उपयोग किया गया था। दूसरी ओर, नई तकनीक डिस्क छवि फ़ाइल के साथ अपनी किस्मत आज़माती है।
डिस्क छवि या तो .dmg एक्सटेंशन के साथ ISO 9660 प्रारूप में थी, या सीधे Apple के .dmg प्रारूप में थी। आमतौर पर, एक ISO छवि एक्सटेंशन .iso, .cdr का उपयोग करती है, लेकिन macOS के लिए, .dmg (Apple डिस्क इमेज) बहुत अधिक सामान्य है। यह पहली बार नहीं है कि मैलवेयर इन फ़ाइलों का उपयोग करने की कोशिश करता है, जाहिर तौर पर एंटी-मैलवेयर प्रोग्राम से बचने के लिए।
इंटेगो ने 6 जून को वायरसटोटल द्वारा कैप्चर किए गए कुल चार अलग-अलग नमूने लिए। अलग-अलग निष्कर्षों के बीच अंतर घंटों के क्रम में था, और वे सभी एनएफएस सर्वर से नेटवर्क पथ से जुड़े हुए थे।
OSX/Surfbuyer एडवेयर Adobe फ़्लैश प्लेयर के रूप में प्रच्छन्न है
विशेषज्ञ यह पता लगाने में कामयाब रहे कि नमूने आश्चर्यजनक रूप से OSX/Surfbuyer एडवेयर के समान हैं। यह एडवेयर मैलवेयर है जो न केवल वेब ब्राउज़ करते समय उपयोगकर्ताओं को परेशान करता है।
फ़ाइलें Adobe फ़्लैश प्लेयर इंस्टालर के रूप में प्रच्छन्न थीं। यह मूल रूप से सबसे आम तरीका है जिससे डेवलपर्स उपयोगकर्ताओं को अपने मैक पर मैलवेयर इंस्टॉल करने के लिए मनाने की कोशिश करते हैं। चौथे नमूने पर डेवलपर खाते मस्तूरा फेनी (2PVD64XRF3) द्वारा हस्ताक्षर किए गए थे, जिसका उपयोग अतीत में सैकड़ों नकली फ़्लैश इंस्टॉलरों के लिए किया गया है। वे सभी OSX/Surfbuyer एडवेयर के अंतर्गत आते हैं।
अब तक, कैप्चर किए गए नमूनों ने अस्थायी रूप से एक टेक्स्ट फ़ाइल बनाने के अलावा कुछ नहीं किया है। चूँकि एप्लिकेशन डिस्क छवियों में गतिशील रूप से जुड़े हुए थे, इसलिए किसी भी समय सर्वर स्थान को बदलना आसान था। और वह भी वितरित मैलवेयर को संपादित किए बिना। इसलिए यह संभावना है कि रचनाकारों ने, परीक्षण के बाद, पहले से ही निहित मैलवेयर के साथ "उत्पादन" अनुप्रयोगों को प्रोग्राम कर लिया है। इसे अब वायरसटोटल एंटी-मैलवेयर द्वारा पकड़ा नहीं जाना था।
इंटेगो ने इस डेवलपर खाते की सूचना ऐप्पल को दी ताकि उसके प्रमाणपत्र पर हस्ताक्षर करने के अधिकार को रद्द किया जा सके।
अतिरिक्त सुरक्षा के लिए, उपयोगकर्ताओं को सलाह दी जाती है कि वे मुख्य रूप से मैक ऐप स्टोर से ऐप इंस्टॉल करें और बाहरी स्रोतों से ऐप इंस्टॉल करते समय उनके मूल के बारे में सोचें।
पेट्र स्कुटा 
अमाया तोमन 
डेनियल ह्रुस्का 