तीन महिन्यांपूर्वी, गेटकीपर फंक्शनमध्ये एक असुरक्षितता आढळली होती, जी संभाव्य हानिकारक सॉफ्टवेअरपासून macOS चे संरक्षण करते. गैरवर्तनाचे पहिले प्रयत्न दिसायला जास्त वेळ लागला नाही.
तथापि, सुरक्षा तज्ञ फिलिपो कॅव्हॅलरिन यांनी ॲपच्या स्वाक्षरी तपासणीमध्येच समस्या उघड केली आहे. खरंच, सत्यता तपासणी एका विशिष्ट मार्गाने पूर्णपणे बायपास केली जाऊ शकते.
सध्याच्या स्वरूपात, गेटकीपर बाह्य ड्राइव्ह आणि नेटवर्क स्टोरेजला "सुरक्षित स्थाने" मानतो. याचा अर्थ असा की ते कोणत्याही ॲप्लिकेशनला या ठिकाणी पुन्हा न तपासता चालवण्याची अनुमती देते. अशाप्रकारे, वापरकर्त्याला नकळतपणे शेअर्ड ड्राइव्ह किंवा स्टोरेज माउंट करण्यास फसवले जाऊ शकते. त्या फोल्डरमधील कोणतीही गोष्ट गेटकीपरद्वारे सहजपणे बायपास केली जाते.
दुसऱ्या शब्दांत, एकच स्वाक्षरी केलेला अर्ज त्वरीत इतर अनेक, स्वाक्षरी नसलेल्यांसाठी मार्ग उघडू शकतो. Cavallarin ने कर्तव्यदक्षपणे Apple ला सुरक्षा त्रुटी कळवली आणि नंतर प्रतिसादासाठी 90 दिवस वाट पाहिली. या कालावधीनंतर, तो त्रुटी प्रकाशित करण्याचा अधिकार आहे, जी त्याने अखेरीस केली. क्युपर्टिनोकडून कोणीही त्याच्या पुढाकाराला प्रतिसाद दिला नाही.
असुरक्षिततेचा फायदा घेण्याचा पहिला प्रयत्न डीएमजी फाइल्सकडे नेतो
दरम्यान, सुरक्षा फर्म इंटेगोने या असुरक्षिततेचा नेमका फायदा उठवण्याच्या प्रयत्नांचा पर्दाफाश केला आहे. गेल्या आठवड्याच्या अखेरीस, मालवेअर टीमने कॅव्हॅलरिनने वर्णन केलेल्या पद्धतीचा वापर करून मालवेअर वितरित करण्याचा प्रयत्न शोधला.
मुळात वर्णन केलेल्या बगमध्ये ZIP फाइल वापरली गेली. नवीन तंत्र, दुसरीकडे, डिस्क इमेज फाइलसह आपले नशीब आजमावते.
डिस्क इमेज एकतर .dmg एक्स्टेंशनसह ISO 9660 फॉरमॅटमध्ये किंवा थेट Apple च्या .dmg फॉरमॅटमध्ये होती. सामान्यतः, ISO प्रतिमा .iso, .cdr विस्तार वापरते, परंतु macOS साठी, .dmg (Apple डिस्क प्रतिमा) अधिक सामान्य आहे. मालवेअर अँटी-मालवेअर प्रोग्राम टाळण्यासाठी या फाइल्स वापरण्याचा प्रयत्न करण्याची ही पहिलीच वेळ नाही.
Intego ने 6 जून रोजी VirusTotal ने एकूण चार वेगवेगळे नमुने कॅप्चर केले. वैयक्तिक निष्कर्षांमधील फरक तासांच्या क्रमाने होता, आणि ते सर्व NFS सर्व्हरशी नेटवर्क मार्गाने जोडलेले होते.
OSX/Surfbuyer adware Adobe Flash Player च्या वेषात
तज्ञांना हे शोधण्यात यश आले की नमुने OSX/Surfbuyer adware सारखेच आहेत. हे ॲडवेअर मालवेअर आहे जे केवळ वेब ब्राउझ करताना वापरकर्त्यांना त्रास देत नाही.
फायली Adobe Flash Player इंस्टॉलर म्हणून वेषात होत्या. मूलत: विकासक वापरकर्त्यांना त्यांच्या Mac वर मालवेअर स्थापित करण्यासाठी पटवून देण्याचा हा सर्वात सामान्य मार्ग आहे. चौथ्या नमुन्यावर Mastura Fenny (2PVD64XRF3) या डेव्हलपर खात्याने स्वाक्षरी केली होती, जे यापूर्वी शेकडो बनावट फ्लॅश इंस्टॉलर्ससाठी वापरले गेले आहे. ते सर्व OSX/Surfbuyer adware अंतर्गत येतात.
आतापर्यंत, पकडलेल्या नमुन्यांनी तात्पुरती मजकूर फाइल तयार करण्याशिवाय काहीही केले नाही. डिस्क प्रतिमांमध्ये ऍप्लिकेशन्स डायनॅमिकली जोडलेले असल्यामुळे, सर्व्हरचे स्थान कधीही बदलणे सोपे होते. आणि ते वितरित मालवेअर संपादित न करता. त्यामुळे निर्मात्यांनी, चाचणी केल्यानंतर, मालवेअरसह "उत्पादन" अनुप्रयोग आधीच प्रोग्राम केलेले असण्याची शक्यता आहे. हे यापुढे VirusTotal अँटी-मालवेअरद्वारे पकडले जाण्याची गरज नाही.
Intego ने या डेव्हलपर खात्याची Apple कडे प्रमाणपत्र स्वाक्षरी करण्याचा अधिकार रद्द करण्याची तक्रार केली.
अतिरिक्त सुरक्षिततेसाठी, वापरकर्त्यांना प्रामुख्याने Mac App Store वरून ॲप्स स्थापित करण्याचा आणि बाह्य स्त्रोतांकडून ॲप्स स्थापित करताना त्यांच्या मूळबद्दल विचार करण्याचा सल्ला दिला जातो.
पेट्र स्कुटा 
अमाया तोमन 
डॅनियल ह्रुस्का 