ロジャー・フィンガス
· 1分で読めます
Mac をマルウェアから守るために設計されたツールである macOS の Gatekeeper 認証機能の欠陥が、「OSX/Linker」というニックネームの悪意のあるソフトウェア パッケージを配信するために悪用されていると報告されています。
セキュリティ研究者のフィリッポ・カヴァッラリン氏によって発見されたこの脆弱性は、自動マウントおよびゲートキーパーという2つの基本的なMac機能を利用して動作する。
Tom's Guideが詳述しているように、GatekeeperはインターネットからダウンロードされたファイルをAppleのXProtectウイルス対策スクリーナーに送り込みますが、自動マウントされたローカルストレージデバイスからのファイルは、精査することなく安全に通過させます。Cavallarin氏は、ダウンロードされたファイルがローカルドライブからのものだとGatekeeperに思い込ませ、通常のスクリーニングプロトコルを回避しました。
報道によると、カヴァラリン氏は2月にこの問題についてAppleに連絡したが、問題が解決されなかったため5月24日に詳細を公表した。
付随する OSX/Linker マルウェアは Mac を乗っ取ろうとします。その時点で、そのコンピューターは、暗号マイニングからデータ盗難まで、攻撃者が望むあらゆる悪意ある活動に使用される可能性があります。
このコードは、研究者がマルウェアサンプルの検出と共有に利用するリポジトリであるVirusTotalに4回アップロードされています。これは比較的少量であり、このマルウェアは既にIntegoのソフトウェア、そしておそらく他のウイルス対策ツールでも検出されています。
したがって、OSX/Linker を回避するのは比較的容易です。特に、不明なソースからのダウンロードを拒否するなどの標準プロトコルに従うことで回避できます。自動マウントを無効にすることも可能ですが、その場合、ユーザーは外付けドライブを使用するたびに手動で接続と切断を行う必要があります。
