तीन महिना अघि, गेटकीपर प्रकार्यमा एउटा कमजोरी पत्ता लागेको थियो, जसले macOS लाई सम्भावित हानिकारक सफ्टवेयरबाट जोगाउने मानिन्छ। दुर्व्यवहारको पहिलो प्रयास देखा पर्न धेरै समय लागेन।
यद्यपि, सुरक्षा विशेषज्ञ फिलिपो काभलारिनले एपको हस्ताक्षर जाँचमा समस्याको खुलासा गरेका छन्। वास्तवमा, प्रमाणिकता जाँच एक निश्चित तरिकामा पूर्ण रूपमा बाइपास गर्न सकिन्छ।
यसको हालको रूपमा, गेटकीपरले बाह्य ड्राइभहरू र नेटवर्क भण्डारणलाई "सुरक्षित स्थानहरू" मान्छ। यसको मतलब यो हो कि यसले कुनै पनि एप्लिकेसनलाई फेरि जाँच नगरी यी स्थानहरूमा चलाउन अनुमति दिन्छ, यसरी, प्रयोगकर्तालाई सजिलैसँग साझा ड्राइभ वा भण्डारण माउन्ट गर्न सकिन्छ। त्यो फोल्डरमा कुनै पनि कुरा गेटकीपरद्वारा सजिलै बाइपास हुन्छ।
अर्को शब्दमा भन्नुपर्दा, एकल हस्ताक्षरित एप्लिकेसनले अन्य धेरै, अहस्ताक्षरित व्यक्तिहरूको लागि द्रुत रूपमा बाटो खोल्न सक्छ। क्याभलारिनले एप्पललाई सुरक्षा त्रुटिको जानकारी दिनुभयो र त्यसपछि प्रतिक्रियाको लागि 90 दिन पर्खनुभयो। यस अवधि पछि, उसले त्रुटि प्रकाशित गर्ने अधिकार छ, जुन उसले अन्ततः गर्यो। क्युपर्टिनोबाट कसैले पनि उनको पहललाई प्रतिक्रिया दिएनन्।
कमजोरीको शोषण गर्ने पहिलो प्रयासले DMG फाइलहरूमा नेतृत्व गर्छ
यसैबीच, सेक्युरिटी फर्म इन्टेगोले यो कमजोरीलाई ठ्याक्कै दुरुपयोग गर्ने प्रयास गरेको खुलासा गरेको छ। पछिल्लो हप्ता, मालवेयर टोलीले Cavallarin द्वारा वर्णन गरिएको विधि प्रयोग गरेर मालवेयर वितरण गर्ने प्रयास पत्ता लगायो।
मूल रूपमा वर्णन गरिएको बगले ZIP फाइल प्रयोग गर्यो। नयाँ प्रविधि, अर्कोतर्फ, डिस्क छवि फाइलको साथ आफ्नो भाग्य प्रयास गर्दछ।
डिस्क छवि या त .dmg विस्तारको साथ ISO 9660 ढाँचामा थियो, वा सिधै Apple को .dmg ढाँचामा थियो। सामान्यतया, ISO छविले विस्तारहरू .iso, .cdr प्रयोग गर्दछ, तर macOS को लागि, .dmg (Apple Disk Image) धेरै सामान्य छ। मालवेयरले यी फाईलहरू प्रयोग गर्ने प्रयास गरेको यो पहिलो पटक होइन, स्पष्ट रूपमा एन्टी-मालवेयर कार्यक्रमहरूबाट बच्न।
Intego ले जुन 6 मा VirusTotal द्वारा क्याप्चर गरिएका कुल चार फरक नमूनाहरू कब्जा गर्यो। व्यक्तिगत खोजहरू बीचको भिन्नता घण्टाको क्रममा थियो, र तिनीहरू सबै NFS सर्भरमा नेटवर्क मार्गद्वारा जोडिएका थिए।
OSX/Surfbuyer एडवेयर Adobe Flash Player को रूपमा भेषमा
विशेषज्ञहरूले पत्ता लगाउन व्यवस्थित गरे कि नमूनाहरू OSX/Surfbuyer एडवेयरसँग मिल्दोजुल्दो छन्। यो एडवेयर मालवेयर हो जसले प्रयोगकर्ताहरूलाई वेब ब्राउज गर्दा मात्र होइन।
फाइलहरू Adobe Flash Player स्थापनाकर्ताहरूको रूपमा भेषमा थिए। यो मूलतः विकासकर्ताहरूले प्रयोगकर्ताहरूलाई उनीहरूको म्याकमा मालवेयर स्थापना गर्न मनाउन प्रयास गर्ने सबैभन्दा सामान्य तरिका हो। चौथो नमूना विकासकर्ता खाता Mastura Fenny (2PVD64XRF3) द्वारा हस्ताक्षर गरिएको थियो, जुन विगतमा सयौं नक्कली फ्ल्यास स्थापनाकर्ताहरूको लागि प्रयोग गरिएको थियो। तिनीहरू सबै OSX/Surfbuyer एडवेयर अन्तर्गत पर्दछन्।
हालसम्म, कब्जा गरिएको नमूनाहरूले अस्थायी रूपमा पाठ फाइल सिर्जना बाहेक केही गरेको छैन। किनभने अनुप्रयोगहरू गतिशील रूपमा डिस्क छविहरूमा लिङ्क गरिएको थियो, यो कुनै पनि समयमा सर्भर स्थान परिवर्तन गर्न सजिलो थियो। र त्यो वितरित मालवेयर सम्पादन नगरी। त्यसैले सम्भव छ कि सिर्जनाकर्ताहरूले परीक्षण पछि, पहिले नै "उत्पादन" अनुप्रयोगहरू समावेश भएको मालवेयरसँग प्रोग्राम गरिसकेका छन्। यो अब VirusTotal विरोधी मालवेयर द्वारा समात्नु पर्दैन।
Intego ले यो विकासकर्ता खाता Apple लाई यसको प्रमाणपत्र हस्ताक्षर गर्ने अधिकार खारेज गर्न रिपोर्ट गर्यो।
थप सुरक्षाको लागि, प्रयोगकर्ताहरूलाई मुख्य रूपमा Mac एप स्टोरबाट एपहरू स्थापना गर्न र बाह्य स्रोतहरूबाट एपहरू स्थापना गर्दा तिनीहरूको उत्पत्ति बारे सोच्न सल्लाह दिइन्छ।
Petr skuta 
अमाया टोमन 
डेनियल Hruska 