قبل ثلاثة أشهر، تم اكتشاف ثغرة أمنية في وظيفة Gatekeeper، والتي من المفترض أن تحمي نظام التشغيل macOS من البرامج الضارة المحتملة. لم يستغرق الأمر وقتًا طويلاً حتى ظهرت المحاولات الأولى للإساءة.
ومع ذلك، كشف الخبير الأمني Filippo Cavallarin عن مشكلة في التحقق من توقيع التطبيق نفسه. في الواقع، يمكن تجاوز التحقق من الأصالة بشكل كامل بطريقة معينة.
في شكله الحالي، يعتبر برنامج Gatekeeper محركات الأقراص الخارجية ووحدات تخزين الشبكة بمثابة "مواقع آمنة". وهذا يعني أنه يسمح لأي تطبيق بالعمل في هذه المواقع دون التحقق مرة أخرى. وبهذه الطريقة، يمكن خداع المستخدم بسهولة لتثبيت محرك أقراص مشترك أو وحدة تخزين دون علمه. يمكن بعد ذلك تجاوز أي شيء في هذا المجلد بسهولة بواسطة Gatekeeper.
بمعنى آخر، يمكن لتطبيق موقع واحد أن يفتح الطريق بسرعة للعديد من التطبيقات الأخرى غير الموقعة. أبلغ كافالارين شركة Apple بالخلل الأمني، ثم انتظر 90 يومًا للرد. وبعد هذه المدة يحق له نشر الخطأ، وهو ما فعله في النهاية. ولم يستجب أحد من كوبرتينو لمبادرته.
المحاولات الأولى لاستغلال الثغرة الأمنية تؤدي إلى ملفات DMG
وفي الوقت نفسه، كشفت شركة Intego الأمنية عن محاولات لاستغلال هذه الثغرة الأمنية. وفي أواخر الأسبوع الماضي، اكتشف فريق البرامج الضارة محاولة لتوزيع البرامج الضارة باستخدام الطريقة التي وصفها كافالارين.
الخطأ الموصوف في الأصل يستخدم ملف ZIP. ومن ناحية أخرى، فإن التقنية الجديدة تجرب حظها مع ملف صورة القرص.
كانت صورة القرص إما بتنسيق ISO 9660 بامتداد .dmg، أو مباشرة بتنسيق .dmg الخاص بشركة Apple. بشكل عام، تستخدم صورة ISO الامتدادات .iso و.cdr، ولكن بالنسبة لنظام التشغيل macOS، يعد .dmg (Apple Disk Image) أكثر شيوعًا. وهذه ليست المرة الأولى التي تحاول فيها البرامج الضارة استخدام هذه الملفات، وذلك على ما يبدو لتجنب برامج مكافحة البرامج الضارة.
التقط Intego ما مجموعه أربع عينات مختلفة تم التقاطها بواسطة VirusTotal في السادس من يونيو. كان الفرق بين النتائج الفردية في حدود الساعات، وكانت جميعها متصلة عبر مسار شبكة بخادم NFS.
برامج الإعلانات المتسللة OSX/Surfbuyer متنكرة في صورة Adobe Flash Player
تمكن الخبراء من العثور على أن العينات مشابهة بشكل لافت للنظر لبرامج الإعلانات المتسللة OSX/Surfbuyer. هذه برامج ضارة تزعج المستخدمين ليس فقط أثناء تصفح الويب.
تم إخفاء الملفات على أنها مثبتات Adobe Flash Player. هذه هي الطريقة الأكثر شيوعًا التي يحاول بها المطورون إقناع المستخدمين بتثبيت البرامج الضارة على أجهزة Mac الخاصة بهم. تم توقيع العينة الرابعة بواسطة حساب المطور Mastura Fenny (2PVD64XRF3)، والذي تم استخدامه لمئات من مثبتات الفلاش المزيفة في الماضي. تقع جميعها ضمن برامج الإعلانات المتسللة OSX/Surfbuyer.
حتى الآن، لم تفعل العينات الملتقطة شيئًا سوى إنشاء ملف نصي مؤقتًا. ونظرًا لأن التطبيقات كانت مرتبطة ديناميكيًا في صور القرص، فقد كان من السهل تغيير موقع الخادم في أي وقت. وذلك دون الحاجة إلى تعديل البرامج الضارة الموزعة. لذلك فمن المحتمل أن يكون المبدعون، بعد الاختبار، قد قاموا بالفعل ببرمجة تطبيقات "الإنتاج" باستخدام برامج ضارة مضمنة. ولم يعد من الضروري اكتشافه بواسطة برنامج مكافحة البرامج الضارة VirusTotal.
بيتر شكوتا 
أمايا تومان 
دانيال هروسكا 