Tre mesi fa è stata scoperta una vulnerabilità nella funzione Gatekeeper, che dovrebbe proteggere macOS da software potenzialmente dannosi. Non c'è voluto molto prima che comparissero i primi tentativi di abuso.
L'esperto di sicurezza Filippo Cavallarin ha però scoperto un problema proprio nel controllo della firma dell'app. In effetti, il controllo di autenticità può essere completamente aggirato in un certo modo.
Nella sua forma attuale, Gatekeeper considera le unità esterne e l'archiviazione di rete come "luoghi sicuri". Ciò significa che consente a qualsiasi applicazione di essere eseguita in queste posizioni senza dover effettuare nuovamente il controllo, in modo che l'utente possa essere facilmente indotto con l'inganno a montare inconsapevolmente un'unità o un dispositivo di archiviazione condiviso. Qualsiasi cosa contenuta in quella cartella viene quindi facilmente aggirata da Gatekeeper.
In altre parole, una singola domanda firmata può rapidamente aprire la strada a molte altre, non firmate. Cavallarin ha diligentemente segnalato la falla di sicurezza ad Apple e poi ha aspettato 90 giorni per una risposta. Trascorso questo periodo ha il diritto di pubblicare l'errore, cosa che alla fine ha fatto. Nessuno da Cupertino ha risposto alla sua iniziativa.
I primi tentativi di sfruttare la vulnerabilità portano alla creazione di file DMG
Nel frattempo, la società di sicurezza Intego ha scoperto tentativi di sfruttare proprio questa vulnerabilità. Alla fine della scorsa settimana, il team malware ha scoperto un tentativo di distribuire il malware utilizzando il metodo descritto da Cavallarin.
Il bug originariamente descritto utilizzava un file ZIP. La nuova tecnica, invece, tenta la fortuna con un file immagine del disco.
L'immagine del disco era in formato ISO 9660 con estensione .dmg o direttamente nel formato .dmg di Apple. Comunemente, un'immagine ISO utilizza le estensioni .iso, .cdr, ma per macOS, .dmg (Apple Disk Image) è molto più comune. Non è la prima volta che malware tenta di utilizzare questi file, apparentemente per evitare programmi anti-malware.
Intego ha catturato un totale di quattro diversi campioni catturati da VirusTotal il 6 giugno. La differenza tra i singoli risultati era dell'ordine di ore e tutti erano collegati tramite un percorso di rete al server NFS.
Adware OSX/Surfbuyer mascherato da Adobe Flash Player
Gli esperti sono riusciti a scoprire che i campioni sono sorprendentemente simili all'adware OSX/Surfbuyer. Si tratta di malware adware che infastidisce gli utenti non solo durante la navigazione sul web.
I file erano mascherati da programmi di installazione di Adobe Flash Player. Questo è fondamentalmente il modo più comune con cui gli sviluppatori cercano di convincere gli utenti a installare malware sui propri Mac. Il quarto campione è stato firmato dall'account sviluppatore Mastura Fenny (2PVD64XRF3), che in passato è stato utilizzato per centinaia di falsi programmi di installazione Flash. Rientrano tutti nell'adware OSX/Surfbuyer.
Finora i campioni catturati non hanno fatto altro che creare temporaneamente un file di testo. Poiché le applicazioni erano collegate dinamicamente nelle immagini del disco, era facile modificare la posizione del server in qualsiasi momento. E questo senza dover modificare il malware distribuito. È quindi probabile che gli ideatori, dopo aver effettuato i test, abbiano già programmato applicazioni di "produzione" con contenuti malware. Non doveva più essere catturato dall'antimalware VirusTotal.
Intego ha segnalato questo account sviluppatore ad Apple per ottenere la revoca dell'autorità di firma del certificato.
Per maggiore sicurezza, si consiglia agli utenti di installare app principalmente dal Mac App Store e di pensare alla loro origine quando installano app da fonti esterne.
Petr Škuta 
Amaya Toman 
Daniele Hruska 