ปีเตอร์ สคูตา สามเดือนที่ผ่านมา มีการค้นพบช่องโหว่ในฟังก์ชัน Gatekeeper ซึ่งควรจะปกป้อง macOS จากซอฟต์แวร์ที่อาจเป็นอันตราย ใช้เวลาไม่นานในการพยายามละเมิดครั้งแรกที่ปรากฏขึ้น
Gatekeeper ได้รับการออกแบบมาเพื่อควบคุมแอพพลิเคชัน Mac ซอฟต์แวร์ที่ไม่ได้ลงนามโดย Apple จากนั้นระบบจะทำเครื่องหมายว่าอาจเป็นอันตราย และต้องได้รับอนุญาตจากผู้ใช้เพิ่มเติมก่อนการติดตั้ง
มันอาจจะเป็น สนใจคุณ
อมายา โตมาน อย่างไรก็ตาม Filippo Cavallarin ผู้เชี่ยวชาญด้านความปลอดภัยได้ค้นพบปัญหาเกี่ยวกับการตรวจสอบลายเซ็นของแอปเอง อันที่จริง การตรวจสอบความถูกต้องสามารถข้ามได้อย่างสมบูรณ์ด้วยวิธีใดวิธีหนึ่ง
ในรูปแบบปัจจุบัน Gatekeeper ถือว่าไดรฟ์ภายนอกและที่เก็บข้อมูลเครือข่ายเป็น "ตำแหน่งที่ปลอดภัย" ซึ่งหมายความว่าจะอนุญาตให้แอปพลิเคชันใด ๆ ทำงานในตำแหน่งเหล่านี้โดยไม่ต้องตรวจสอบอีกครั้ง ด้วยวิธีนี้ ผู้ใช้สามารถถูกหลอกให้ติดตั้งไดรฟ์หรือที่เก็บข้อมูลที่ใช้ร่วมกันโดยไม่รู้ตัวได้อย่างง่ายดาย อะไรก็ตามที่ในโฟลเดอร์นั้น Gatekeeper จะข้ามไปได้อย่างง่ายดาย
กล่าวอีกนัยหนึ่ง แอปพลิเคชันที่ลงชื่อเพียงตัวเดียวสามารถเปิดทางให้กับแอปพลิเคชันอื่นๆ ที่ไม่ได้ลงชื่อได้อย่างรวดเร็ว คาวาลรินรายงานข้อบกพร่องด้านความปลอดภัยต่อ Apple ตามหน้าที่แล้วรอคำตอบ 90 วัน หลังจากช่วงเวลานี้ เขามีสิทธิ์ที่จะเผยแพร่ข้อผิดพลาด ซึ่งในที่สุดเขาก็ทำ ไม่มีใครจากคูเปอร์ติโนตอบสนองต่อความคิดริเริ่มของเขา
ความพยายามครั้งแรกในการใช้ประโยชน์จากช่องโหว่ทำให้เกิดไฟล์ DMG
ในขณะเดียวกัน บริษัทรักษาความปลอดภัย Intego ได้เปิดเผยความพยายามที่จะใช้ประโยชน์จากช่องโหว่นี้ เมื่อปลายสัปดาห์ที่แล้ว ทีมมัลแวร์ค้นพบความพยายามที่จะเผยแพร่มัลแวร์โดยใช้วิธีการที่คาวาลลารินอธิบายไว้
ข้อบกพร่องที่อธิบายไว้เดิมใช้ไฟล์ ZIP ในทางกลับกัน เทคนิคใหม่นี้ลองใช้โชคกับไฟล์อิมเมจของดิสก์
ดิสก์อิมเมจอยู่ในรูปแบบ ISO 9660 โดยมีนามสกุล .dmg หรืออยู่ในรูปแบบ .dmg ของ Apple โดยตรง โดยทั่วไปแล้ว อิมเมจ ISO จะใช้นามสกุล .iso, .cdr แต่สำหรับ macOS นั้น .dmg (Apple Disk Image) จะพบได้บ่อยกว่ามาก ไม่ใช่ครั้งแรกที่มัลแวร์พยายามใช้ไฟล์เหล่านี้ เพื่อหลีกเลี่ยงโปรแกรมป้องกันมัลแวร์
Intego บันทึกตัวอย่างที่แตกต่างกันทั้งหมดสี่ตัวอย่างที่ VirusTotal บันทึกไว้เมื่อวันที่ 6 มิถุนายน ความแตกต่างระหว่างการค้นพบแต่ละรายการคือตามลำดับชั่วโมง และทั้งหมดเชื่อมต่อกันด้วยเส้นทางเครือข่ายไปยังเซิร์ฟเวอร์ NFS
แอดแวร์ OSX/Surfbuyer ที่ปลอมตัวเป็น Adobe Flash Player
ผู้เชี่ยวชาญพบว่าตัวอย่างมีความคล้ายคลึงกับแอดแวร์ OSX/Surfbuyer เป็นอย่างมาก นี่คือมัลแวร์แอดแวร์ที่สร้างความรำคาญให้กับผู้ใช้ไม่เพียงแต่ในขณะที่ท่องเว็บเท่านั้น
ไฟล์ถูกปลอมแปลงเป็นตัวติดตั้ง Adobe Flash Player นี่เป็นวิธีที่นักพัฒนาทั่วไปพยายามโน้มน้าวให้ผู้ใช้ติดตั้งมัลแวร์บน Mac ของตน ตัวอย่างที่สี่ลงนามโดยบัญชีนักพัฒนา Mastura Fenny (2PVD64XRF3) ซึ่งเคยใช้กับตัวติดตั้ง Flash ปลอมหลายร้อยตัวในอดีต ทั้งหมดนี้ตกอยู่ภายใต้แอดแวร์ OSX/Surfbuyer
จนถึงขณะนี้ ตัวอย่างที่บันทึกไว้ไม่ได้ทำอะไรนอกจากสร้างไฟล์ข้อความชั่วคราว เนื่องจากแอปพลิเคชันได้รับการเชื่อมโยงแบบไดนามิกในดิสก์อิมเมจ จึงเป็นเรื่องง่ายที่จะเปลี่ยนตำแหน่งเซิร์ฟเวอร์ได้ตลอดเวลา และโดยไม่ต้องแก้ไขมัลแวร์แบบกระจาย ดังนั้นจึงเป็นไปได้ว่าหลังจากการทดสอบแล้ว ผู้สร้างได้ตั้งโปรแกรมแอปพลิเคชัน "ที่ใช้งานจริง" ที่มีมัลแวร์อยู่แล้ว ไม่จำเป็นต้องถูกจับโดยโปรแกรมป้องกันมัลแวร์ VirusTotal อีกต่อไป
มันอาจจะเป็น สนใจคุณ
ดาเนียล ฮรุสก้า Intego รายงานบัญชีนักพัฒนานี้ให้ Apple เพิกถอนสิทธิ์ในการลงนามใบรับรอง
เพื่อเพิ่มความปลอดภัย ผู้ใช้ควรติดตั้งแอพจาก Mac App Store เป็นหลัก และคำนึงถึงที่มาเมื่อติดตั้งแอพจากแหล่งภายนอก
แหล่งที่มา: 9to5Mac
