Gatekeeper MacOS Berada dalam Zero-Day Berkat OSX/Linker

MacOS memiliki Gatekeeper, benteng sistem operasi di produk besutan Apple itu. Gatekeeper akan menyaring aplikasi dan hanya membolehkan aplikasi terpercaya dan aman yang bisa dijalankan di Mac. Sekarang diketahui Gatekeeper ini memiliki celah keamanan yang bisa diserang malware bernama OSX/Linker. Gatekeeper berada dalam zero-day vulnerability. Ini kondisi di mana kelemahan atau celah keamanan software sudah terungkap dan diketahui pembuatnya namun belum ada perbaikan untuk menutup celah tersebut.

OSX/Linker membuat program jahat didownload dari internet dan mengabaikan proses filter Gatekeeper. Caranya melalui paket symlinks di dalam file arsip seperti .zip.  Symlinks (symbolic links) merupakan file khusus yang menunjukkan tempat file lain atau direktori dalam sistem Mac. Ini seperti shortcut di Windows dimana Anda bisa membuat alias suatu file atau folder ke desktop. Bedanya, shortcut hanya file referensi sehingga Anda tidak bisa melakukan "cd ./nama_shortcut' di command prompt sementara di Mac atau Unix, symlinks adalah filesystem dan semua aplikasi lain melihatnya sebagai file orisinal. Anda bisa masuk ke direktorinya dengan "cd ./nama_symlinks" di terminal. 

Jika pengguna mendownload paket seperti file .zip yang berisi symlink, Gatekeeper akan meloloskan unduhannya. Padahal symlink ini terkoneksi dengan server Network File System (NFS) yang dikontrol hacker.

Malware ini sudah dilaporkan Fillipo Cavallarin kepada Apple pada 22 Februari dan ia diberitahu bahwa celah keamanan ini akan ditutup dalam waktu 90 hari. Namun setelah 90 hari, celah tersebut masih ada dan Apple berhenti berkorespondensi dengan Cavallarin. Karena itulah dia merilis temuannya secara publik pada akhir Mei lalu. Saat itu, belum diketahui adanya infeksi atau insiden terkait OSX/Linker.

Minggu lalu, periset malware Intego menemukan usaha pertama mengeksploitasi celah keamanan yang dipublikasi Cavallarin. Usaha ini diyakini sebagai persiapan penyebaran malware OSX/Linker. 

Peneliti di Intego juga menemukan bahwa paket yang dipakai sebagai kendaraaan malware bukan .zip seperti penemuan Cavallarin, melainkan disk images files, yakni file .dmg. Gatekeeper memperlakukan aplikasi dari shared network secara berbeda dengan aplikasi yang diunduh dari internet. Paket dalam bentuk disk image atau kompresi merupakan upaya hacker melewati deteksi Gatekeeper. 

Intego menemukan 4 sample malware yang diupload ke VirusTotal pada 6 Juni. Satu file diunggah dari Israel, sisanya dari Amerika Serikat. Semua malware punya link ke server NFS yang sama dan punya jejak Apple ID atas nama Mastura Fenny (2PVD64XRF3). Apple ID ini diketahui telah digunakan untuk membuat ratusan file Flash Player palsu sebagai kontainer malware.

Sampel malware di VirusTotal.

Keberadaan malware yang menyasar Mac bukan cerita baru. Yang terakhir ini semakin mengukuhkan bahwa tidak ada sistem komputer yang benar-benar aman meskipun banyak pengguna Macintosh berpikir bahwa macOS lebih aman daripada Windows.