Пре три месеца откривена је рањивост у функцији Гатекеепер, која би требало да заштити мацОС од потенцијално штетног софтвера. Није требало дуго да се појаве први покушаји злостављања.
Гатекеепер је дизајниран да контролише Мац апликације. Софтвер који није потписао Аппле онда је систем означава као потенцијално опасан и захтева додатну корисничку дозволу пре инсталације.
Међутим, стручњак за безбедност Филипо Каваларин открио је проблем са самом провером потписа апликације. Заиста, провера аутентичности се може потпуно заобићи на одређени начин.
У свом тренутном облику, Гатекеепер сматра спољне дискове и мрежно складиште као „безбедне локације“. То значи да дозвољава било којој апликацији да ради на овим локацијама без поновне провере.На овај начин, корисник може лако бити преварен да несвесно монтира дељени диск или складиште. Све што се налази у тој фасцикли онда лако заобилази Гатекеепер.
Другим речима, једна потписана апликација може брзо отворити пут за многе друге, непотписане. Цавалларин је савјесно пријавио сигурносни пропуст Аппле-у, а затим је чекао 90 дана на одговор. Након овог периода, он има право да објави грешку, што је на крају и учинио. Нико из Купертина није одговорио на његову иницијативу.
Први покушаји да се искористи рањивост доводе до ДМГ датотека
У међувремену, безбедносна фирма Интего је открила покушаје да се искористи управо ова рањивост. Крајем прошле недеље, тим за малвер открио је покушај дистрибуције малвера методом коју је описао Цавалларин.
Првобитно описана грешка користила је ЗИП датотеку. Нова техника, с друге стране, окушава срећу са датотеком слике диска.
Слика диска је била или у ИСО 9660 формату са екстензијом .дмг, или директно у Аппле-овом .дмг формату. Обично, ИСО слика користи екстензије .исо, .цдр, али за мацОС, .дмг (Аппле Диск Имаге) је много чешћи. Није први пут да злонамерни софтвер покушава да користи ове датотеке, очигледно да би избегао програме против малвера.
Интего је ухватио укупно четири различита узорка које је ухватио ВирусТотал 6. јуна. Разлика између појединачних налаза била је у редоследу сати, а сви су били повезани мрежном путањом до НФС сервера.
ОСКС/Сурфбуиер рекламни софтвер прерушен у Адобе Фласх Плаиер
Стручњаци су успели да открију да су узорци запањујуће слични ОСКС/Сурфбуиер рекламном софтверу. Ово је адвер малвер који нервира кориснике не само док претражују веб.
Фајлови су били маскирани као инсталатери Адобе Фласх Плаиер-а. Ово је у основи најчешћи начин на који програмери покушавају да убеде кориснике да инсталирају малвер на свој Мац. Четврти узорак је потписао налог програмера Мастура Фенни (2ПВД64КСРФ3), који је у прошлости коришћен за стотине лажних инсталатера Фласх-а. Сви они потпадају под ОСКС/Сурфбуиер рекламни софтвер.
До сада, ухваћени узорци нису урадили ништа осим привременог креирања текстуалне датотеке. Пошто су апликације биле динамички повезане у сликама диска, било је лако променити локацију сервера у било ком тренутку. И то без потребе за уређивањем дистрибуираног малвера. Стога је вероватно да су креатори, након тестирања, већ програмирали "производне" апликације са садржаним малвером. Више није морао да буде ухваћен од стране ВирусТотал анти-малвера.
Интего је пријавио Аппле-у овај налог програмера да му опозове ауторитет за потписивање сертификата.
Ради додатне безбедности, корисницима се саветује да инсталирају апликације првенствено из Мац Апп Сторе-а и да размишљају о њиховом пореклу када инсталирају апликације из спољних извора.
Петр Шкута 
Амаиа Томан 
Даниел Хруска 