Dri mis yn ôl, darganfuwyd bregusrwydd yn swyddogaeth Gatekeeper, sydd i fod i amddiffyn macOS rhag meddalwedd a allai fod yn niweidiol. Ni chymerodd hir i'r ymdrechion cyntaf i gam-drin ymddangos.
Fodd bynnag, mae'r arbenigwr diogelwch Filippo Cavallarin wedi dod o hyd i broblem gyda gwiriad llofnod yr ap ei hun. Yn wir, gellir osgoi'r gwiriad dilysrwydd yn llwyr mewn ffordd benodol.
Yn ei ffurf bresennol, mae Gatekeeper yn ystyried gyriannau allanol a storio rhwydwaith fel "lleoliadau diogel". Mae hyn yn golygu ei fod yn caniatáu i unrhyw raglen redeg yn y lleoliadau hyn heb wirio eto. Fel hyn, mae'n hawdd twyllo'r defnyddiwr i osod gyriant neu storfa gyffredin yn ddiarwybod iddo. Yna mae'n hawdd osgoi unrhyw beth yn y ffolder honno gan Gatekeeper.
Mewn geiriau eraill, gall un cais wedi'i lofnodi agor y ffordd yn gyflym i lawer o rai eraill heb eu llofnodi. Adroddodd Cavallarin y diffyg diogelwch i Apple ac yna aros 90 diwrnod am ymateb. Ar ôl y cyfnod hwn, mae ganddo hawl i gyhoeddi'r gwall, a wnaeth yn y pen draw. Ni ymatebodd unrhyw un o Cupertino i'w fenter.
Arweiniodd yr ymdrechion cyntaf i fanteisio ar y bregusrwydd at ffeiliau DMG
Yn y cyfamser, mae cwmni diogelwch Intego wedi datgelu ymdrechion i fanteisio ar yr union fregusrwydd hwn. Yn hwyr yr wythnos diwethaf, darganfu'r tîm malware ymgais i ddosbarthu'r malware gan ddefnyddio'r dull a ddisgrifir gan Cavallarin.
Defnyddiodd y byg a ddisgrifiwyd yn wreiddiol ffeil ZIP. Mae'r dechneg newydd, ar y llaw arall, yn ceisio ei lwc gyda ffeil delwedd disg.
Roedd delwedd y ddisg naill ai mewn fformat ISO 9660 gydag estyniad .dmg, neu'n uniongyrchol yn fformat .dmg Apple. Yn gyffredin, mae delwedd ISO yn defnyddio'r estyniadau .iso, .cdr, ond ar gyfer macOS, mae .dmg (Delwedd Disg Apple) yn llawer mwy cyffredin. Nid dyma'r tro cyntaf i malware geisio defnyddio'r ffeiliau hyn, mae'n debyg i osgoi rhaglenni gwrth-ddrwgwedd.
Cipiodd Intego gyfanswm o bedwar sampl gwahanol a ddaliwyd gan VirusTotal ar Fehefin 6ed. Roedd y gwahaniaeth rhwng y canfyddiadau unigol yn nhrefn yr oriau, ac roeddent i gyd wedi'u cysylltu gan lwybr rhwydwaith i'r gweinydd NFS.
Hysbysebion OSX/Surfbuyer wedi'u cuddio fel Adobe Flash Player
Llwyddodd arbenigwyr i ddarganfod bod y samplau'n hynod debyg i'r meddalwedd hysbysebu OSX/Surfbuyer. Mae hwn yn malware adware sy'n cythruddo defnyddwyr nid yn unig wrth bori'r we.
Roedd y ffeiliau wedi'u cuddio fel gosodwyr Adobe Flash Player. Yn y bôn, dyma'r ffordd fwyaf cyffredin y mae datblygwyr yn ceisio argyhoeddi defnyddwyr i osod malware ar eu Mac. Llofnodwyd y pedwerydd sampl gan y cyfrif datblygwr Mastura Fenny (2PVD64XRF3), sydd wedi'i ddefnyddio ar gyfer cannoedd o osodwyr Flash ffug yn y gorffennol. Maent i gyd yn dod o dan OSX/Surfbuyer adware.
Hyd yn hyn, nid yw'r samplau a ddaliwyd wedi gwneud dim ond creu ffeil testun dros dro. Oherwydd bod y cymwysiadau wedi'u cysylltu'n ddeinamig yn y delweddau disg, roedd yn hawdd newid lleoliad y gweinydd ar unrhyw adeg. A hynny heb orfod golygu'r malware a ddosbarthwyd. Mae'n debygol felly bod y crewyr, ar ôl profi, eisoes wedi rhaglennu cymwysiadau "cynhyrchu" gyda meddalwedd faleisus. Nid oedd yn rhaid iddo gael ei ddal mwyach gan y gwrth-ddrwgwedd VirusTotal.
Adroddodd Intego fod y cyfrif datblygwr hwn i Apple i gael ei awdurdod llofnodi tystysgrif wedi'i ddiddymu.
Ar gyfer diogelwch ychwanegol, cynghorir defnyddwyr i osod apps yn bennaf o'r Mac App Store ac i feddwl am eu tarddiad wrth osod apps o ffynonellau allanol.
Petr Škuta 
Amaya Toman 
Daniel Hruska 