

先月セキュリティ研究者によって発見されたmacOS Gatekeeperの脆弱性が、アドウェア会社によるテストと思われるもので悪用されたようだ。
Gatekeeperは、コードがAppleによって署名されているかどうかをチェックすることで、Macアプリの正当性を保証するように設計されています。このチェックに合格しないアプリは、ユーザーがリスクを認識し、明示的に許可しない限り、インストールを許可されるべきではありません。
しかし、セキュリティ研究者のフィリッポ・カヴァッラリン氏は先月、これに問題があると指摘した。
Gatekeeperの機能を完全に回避することが可能です。現在の実装では、Gatekeeperは外付けドライブとネットワーク共有の両方を「安全な場所」と見なします。つまり、これらの場所にあるアプリケーションは、コードの再チェックなしに実行できます。さらに彼は、ユーザーが「簡単に」騙されてネットワーク共有ドライブをマウントしてしまい、そのフォルダ内のあらゆるファイルがGatekeeperを通過できてしまうと説明しています。
したがって、署名されたアプリ 1 つを使用して、署名されていない他のアプリを承認することができます。
カヴァラリン氏は、Apple 社に対し、脆弱性を公表する前に 90 日間の猶予を与えて責任ある行動をとったが、同社はその猶予を与えず、同氏の電子メールに返答しなくなったと述べている。
macOS Gatekeeperの脆弱性の悪用
セキュリティ企業のIntego社は、アドウェア企業によるテストと思われるこの脆弱性が悪用された事例を発見したと発表した。
先週初め、Intego のマルウェア研究チームは Cavallarin の脆弱性の最初の既知の使用方法を発見しました。これは、少なくとも当初は、マルウェア配布の準備のためのテストとして使用されていたようです。
Cavallarin 氏が特定した元のメカニズムは zip ファイル経由でしたが、見つかったサンプルのマルウェアではディスク イメージが使用されていました。
マルウェア作成者は、Cavallarin の脆弱性がディスク イメージでも機能するかどうかを実験していたようです。
ディスクイメージファイルは、サンプルによって、.dmg ファイル名の ISO 9660 イメージ、または Apple ディスクイメージ形式の .dmg ファイルのいずれかでした。通常、ISO イメージのファイル名拡張子は .iso または .cdr ですが、Mac ソフトウェアの配布には .dmg(Apple ディスクイメージ)ファイルの方が一般的に使用されています。(ちなみに、最近、他のいくつかの Mac マルウェアサンプルも ISO 形式を使用しており、これはマルウェア対策ソフトウェアによる検出を回避するための弱々しい試みであると考えられます。)
Intego は、6 月 6 日に VirusTotal にアップロードされた 4 つのサンプルを観察しました。これらのサンプルは、各ディスク イメージの作成後数時間以内にアップロードされたものと思われます。これらのサンプルはすべて、インターネットにアクセス可能な NFS サーバー上の 1 つの特定のアプリケーションにリンクされていました。
犯人の特定
Intego 社は、このテストは OSX/Surfbuyer アドウェアの開発者によって実行されたと疑う十分な理由があると述べている。
これらのディスクイメージはAdobe Flash Playerのインストーラーに偽装されており、これはマルウェア作成者がMacユーザーを騙してマルウェアをインストールさせる最も一般的な手法の一つです。4つ目のOSX/Linkerディスクイメージは、Apple Developer ID(Mastura Fenny (2PVD64XRF3))によってコード署名されています。このIDは、過去90日間でOSX/Surfbuyerアドウェアファミリーに関連する数百もの偽のFlash Playerファイルの署名に使用されています。
同社によれば、発見されたサンプルは一時的なテキストファイルを作成する以外は何もしていなかったため、これは単なるテストだったという説が有力視されており、その後ファイルはサーバーから削除されたが、状況はすぐに変わる可能性があるという。
ディスクイメージ内の.appは動的にリンクされているため、ディスクイメージ自体を変更することなく、サーバー側でいつでも変更される可能性があります。そのため、同じディスクイメージ(またはVirusTotalにアップロードされていない新しいバージョン)が、後に被害者のMac上で実際に悪意のあるコードを実行するアプリの配布に使用された可能性があります。
Intego は Apple Developer ID を Apple に報告し、同社が証明書を取り消せるようにしました。
いつものように、ベストプラクティスとしては、Mac App Store や明示的に信頼する他のソースからのみアプリをダウンロードすることです。この脆弱性により、悪意のある人物が正規のアプリと一緒にマルウェアを配布する可能性があることに注意してください。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。