మూడు నెలల క్రితం, గేట్కీపర్ ఫంక్షన్లో ఒక దుర్బలత్వం కనుగొనబడింది, ఇది మాకోస్ను హానికరమైన సాఫ్ట్వేర్ నుండి రక్షించాలి. దుర్వినియోగానికి సంబంధించిన మొదటి ప్రయత్నాలు కనిపించడానికి ఎక్కువ సమయం పట్టలేదు.
అయితే, భద్రతా నిపుణుడు Filippo Cavallarin యాప్ సంతకం చెక్లోనే ఒక సమస్యను కనుగొన్నారు. వాస్తవానికి, ప్రామాణికత తనిఖీని ఒక నిర్దిష్ట మార్గంలో పూర్తిగా దాటవేయవచ్చు.
దాని ప్రస్తుత రూపంలో, గేట్ కీపర్ బాహ్య డ్రైవ్లు మరియు నెట్వర్క్ నిల్వను "సురక్షిత స్థానాలు"గా పరిగణిస్తాడు. ఏ అప్లికేషన్ అయినా మళ్లీ తనిఖీ చేయకుండానే ఈ స్థానాల్లో రన్ చేయడానికి అనుమతించబడుతుందని దీని అర్థం. ఈ విధంగా, వినియోగదారు తెలియకుండానే షేర్ చేసిన డ్రైవ్ లేదా స్టోరేజ్ని మౌంట్ చేసేలా సులభంగా మోసగించవచ్చు. ఆ ఫోల్డర్లోని ఏదైనా అప్పుడు గేట్కీపర్ ద్వారా సులభంగా దాటవేయబడుతుంది.
మరో మాటలో చెప్పాలంటే, ఒకే సంతకం చేసిన అప్లికేషన్ చాలా ఇతర, సంతకం చేయని వాటికి త్వరగా మార్గం తెరవగలదు. Cavallarin Appleకి భద్రతా లోపాన్ని విధిగా నివేదించింది మరియు ప్రతిస్పందన కోసం 90 రోజులు వేచి ఉంది. ఈ వ్యవధి తర్వాత, అతను చివరికి చేసిన లోపాన్ని ప్రచురించడానికి అర్హులు. అతని చొరవకు కుపెర్టినో నుండి ఎవరూ స్పందించలేదు.
దుర్బలత్వాన్ని ఉపయోగించుకునే మొదటి ప్రయత్నాలు DMG ఫైల్లకు దారితీస్తాయి
ఇంతలో, భద్రతా సంస్థ ఇంటెగో సరిగ్గా ఈ దుర్బలత్వాన్ని ఉపయోగించుకునే ప్రయత్నాలను వెలికితీసింది. గత వారం చివర్లో, మాల్వేర్ బృందం కావల్లారిన్ వివరించిన పద్ధతిని ఉపయోగించి మాల్వేర్ను పంపిణీ చేసే ప్రయత్నాన్ని కనుగొంది.
మొదట వివరించిన బగ్ జిప్ ఫైల్ను ఉపయోగించింది. కొత్త టెక్నిక్, మరోవైపు, డిస్క్ ఇమేజ్ ఫైల్తో తన అదృష్టాన్ని ప్రయత్నిస్తుంది.
డిస్క్ ఇమేజ్ .dmg పొడిగింపుతో ISO 9660 ఫార్మాట్లో లేదా నేరుగా Apple యొక్క .dmg ఆకృతిలో ఉంటుంది. సాధారణంగా, ఒక ISO చిత్రం .iso, .cdr పొడిగింపులను ఉపయోగిస్తుంది, అయితే .dmg (Apple Disk Image) macOSకి చాలా సాధారణం. యాంటీ-మాల్వేర్ ప్రోగ్రామ్లను నివారించడానికి మాల్వేర్ ఈ ఫైల్లను ఉపయోగించడానికి ప్రయత్నించడం ఇది మొదటిసారి కాదు.
Intego జూన్ 6న VirusTotal ద్వారా సంగ్రహించిన మొత్తం నాలుగు వేర్వేరు నమూనాలను సంగ్రహించింది. వ్యక్తిగత అన్వేషణల మధ్య వ్యత్యాసం గంటల క్రమంలో ఉంటుంది మరియు అవన్నీ NFS సర్వర్కు నెట్వర్క్ మార్గం ద్వారా కనెక్ట్ చేయబడ్డాయి.
OSX/Surfbuyer యాడ్వేర్ అడోబ్ ఫ్లాష్ ప్లేయర్ వలె మారువేషంలో ఉంది
నమూనాలు OSX/Surfbuyer యాడ్వేర్తో సమానంగా ఉన్నాయని నిపుణులు కనుగొన్నారు. ఇది యాడ్వేర్ మాల్వేర్, ఇది వెబ్లో బ్రౌజ్ చేస్తున్నప్పుడు మాత్రమే కాకుండా వినియోగదారులను ఇబ్బంది పెడుతుంది.
ఫైల్లు Adobe Flash Player ఇన్స్టాలర్ల వలె మారువేషంలో ఉన్నాయి. డెవలపర్లు తమ Macలో మాల్వేర్ను ఇన్స్టాల్ చేయమని వినియోగదారులను ఒప్పించేందుకు ప్రయత్నించే అత్యంత సాధారణ మార్గం ఇది. నాల్గవ నమూనా డెవలపర్ ఖాతా Mastura Fenny (2PVD64XRF3) ద్వారా సంతకం చేయబడింది, ఇది గతంలో వందలాది నకిలీ ఫ్లాష్ ఇన్స్టాలర్ల కోసం ఉపయోగించబడింది. అవన్నీ OSX/Surfbuyer యాడ్వేర్ కిందకు వస్తాయి.
ఇప్పటివరకు, క్యాప్చర్ చేయబడిన నమూనాలు తాత్కాలికంగా టెక్స్ట్ ఫైల్ను సృష్టించడం మినహా ఏమీ చేయలేదు. అప్లికేషన్లు డిస్క్ ఇమేజ్లలో డైనమిక్గా లింక్ చేయబడినందున, ఎప్పుడైనా సర్వర్ స్థానాన్ని మార్చడం సులభం. మరియు పంపిణీ చేయబడిన మాల్వేర్ను సవరించాల్సిన అవసరం లేకుండా. అందువల్ల సృష్టికర్తలు, పరీక్షించిన తర్వాత, ఇప్పటికే ఉన్న మాల్వేర్తో "ఉత్పత్తి" అప్లికేషన్లను ప్రోగ్రామ్ చేసి ఉండవచ్చు. ఇది ఇకపై VirusTotal యాంటీ మాల్వేర్ ద్వారా పట్టుకోవలసిన అవసరం లేదు.
Intego ఈ డెవలపర్ ఖాతాను Appleకి దాని సర్టిఫికేట్ సంతకం అధికారాన్ని రద్దు చేయాలని నివేదించింది.
అదనపు భద్రత కోసం, వినియోగదారులు ప్రధానంగా Mac యాప్ స్టోర్ నుండి యాప్లను ఇన్స్టాల్ చేసుకోవాలని మరియు బాహ్య మూలాల నుండి యాప్లను ఇన్స్టాల్ చేసేటప్పుడు వాటి మూలం గురించి ఆలోచించాలని సూచించారు.
Petr Škuta 
అమయా టోమన్ 
డేనియల్ హ్రుస్కా 