Miezi mitatu iliyopita, hatari iligunduliwa katika kazi ya Mlinda lango, ambayo inapaswa kulinda macOS kutoka kwa programu inayoweza kuwa hatari. Haikuchukua muda kwa majaribio ya kwanza ya matumizi mabaya kuonekana.
Hata hivyo, mtaalam wa usalama Filippo Cavallarin amegundua tatizo na ukaguzi wa sahihi wa programu yenyewe. Hakika, ukaguzi wa uhalisi unaweza kupitishwa kabisa kwa njia fulani.
Katika hali yake ya sasa, Mlinda lango huzingatia anatoa za nje na hifadhi ya mtandao kama "maeneo salama". Hii ina maana kwamba inaruhusu programu yoyote kufanya kazi katika maeneo haya bila kuangalia tena. Kwa njia hii, mtumiaji anaweza kudanganywa kwa urahisi ili kupachika hifadhi ya pamoja au hifadhi bila kujua. Kitu chochote kwenye folda hiyo basi hupitishwa kwa urahisi na Mlinda lango.
Kwa maneno mengine, programu moja iliyotiwa saini inaweza kufungua njia haraka kwa wengine wengi, ambao hawajasainiwa. Cavallarin aliripoti kwa uaminifu dosari ya usalama kwa Apple na kisha akasubiri siku 90 kwa jibu. Baada ya kipindi hiki, ana haki ya kuchapisha makosa, ambayo hatimaye alifanya. Hakuna mtu kutoka Cupertino aliyejibu mpango wake.
Majaribio ya kwanza ya kutumia athari husababisha faili za DMG
Wakati huo huo, kampuni ya usalama ya Intego imefichua majaribio ya kutumia udhaifu huu haswa. Mwishoni mwa wiki iliyopita, timu ya programu hasidi iligundua jaribio la kusambaza programu hasidi kwa kutumia njia iliyoelezewa na Cavallarin.
Hitilafu iliyoelezwa hapo awali ilitumia faili ya ZIP. Mbinu mpya, kwa upande mwingine, inajaribu bahati yake na faili ya picha ya diski.
Picha ya diski ilikuwa katika umbizo la ISO 9660 na kiendelezi cha .dmg, au moja kwa moja katika umbizo la Apple la .dmg. Kwa kawaida, picha ya ISO hutumia viendelezi .iso, .cdr, lakini kwa macOS, .dmg (Picha ya Disk ya Apple) ni ya kawaida zaidi. Sio mara ya kwanza kwa programu hasidi kujaribu kutumia faili hizi, inaonekana ili kuzuia programu za kuzuia programu hasidi.
Intego ilinasa jumla ya sampuli nne tofauti zilizonaswa na VirusTotal mnamo Juni 6. Tofauti kati ya matokeo ya mtu binafsi ilikuwa katika mpangilio wa saa, na zote ziliunganishwa na njia ya mtandao kwa seva ya NFS.
adware ya OSX/Surfbuyer imejificha kama Adobe Flash Player
Wataalamu waliweza kupata kwamba sampuli zinafanana sana na OSX/Surfbuyer adware. Hii ni programu hasidi ya adware ambayo inakera watumiaji sio tu wakati wa kuvinjari wavuti.
Faili zilifichwa kama visakinishi vya Adobe Flash Player. Kimsingi hii ndiyo njia ya kawaida ya wasanidi programu kujaribu kuwashawishi watumiaji kusakinisha programu hasidi kwenye Mac yao. Sampuli ya nne ilitiwa saini na akaunti ya msanidi programu Mastura Fenny (2PVD64XRF3), ambayo imetumika kwa mamia ya visakinishi bandia vya Flash hapo awali. Zote ziko chini ya OSX/Surfbuyer adware.
Kufikia sasa, sampuli zilizokamatwa hazijafanya chochote lakini kuunda faili ya maandishi kwa muda. Kwa sababu programu ziliunganishwa kwa nguvu kwenye picha za diski, ilikuwa rahisi kubadilisha eneo la seva wakati wowote. Na hiyo bila kulazimika kuhariri programu hasidi iliyosambazwa. Kwa hiyo kuna uwezekano kwamba waundaji, baada ya kupima, tayari wameweka programu za "uzalishaji" na programu hasidi zilizomo. Haikubidi tena kunaswa na programu hasidi ya VirusTotal.
Intego iliripoti akaunti hii ya msanidi programu kwa Apple kwamba mamlaka yake ya kutia saini cheti ibatilishwe.
Kwa usalama zaidi, watumiaji wanashauriwa kusakinisha programu hasa kutoka kwa Mac App Store na kufikiria asili yao wakati wa kusakinisha programu kutoka vyanzo vya nje.
Petr Škuta 
Amaya Toman 
Daniel Hruska 