Bilgisayar korsanlarının, zararlı yazılımları Apple tarafından imzalı gibi göstererek üçüncü taraf güvenlik araçlarını yaklaşık 11 yıldır yanılttığı ortaya çıktı.
Dijital imzalar, tüm modern işletim sistemleri için temel güvenlik fonksiyonlarından biri. Kriptografik şekilde oluşturulan imzalar, bir uygulamanın güvenilir bir hizmet sağlayıcının özel anahtarıyla onaylandığının bilinmesini sağlıyor. Fakat araştırmacılar, birçok macOS güvenlik aracı tarafından 2007 yılından bu yana dijital imzaları kontrol etmek için kullanılan mekanizmanın hileye açık olduğunu belirledi. Yani zararlı kodların, Apple tarafından onaylı bir uygulama gibi gösterilerek güvenlik duvarlarını aşması mümkün hale getirildi.
ARS Technica sitesinin haberine göre; Mac bilgisayarlar tarafından kullanılan farklı CPU’ları etkileyen bu yöntemle; VirusTotal, Google Santa, Facebook OSQuery, Little Snitch Firewall, Yelp, OSXCollector, Carbon Black’a ait db Response ve Objective-See’nin bazı uygulamaları, Apple imzalı yazılım süsü verilerek yanıltılabiliyordu. Söz konusu programlar, Apple onaylı programların yüklenebilmesi ve diğerlerinin ise engellenmesine yardımcı olması amacıyla kullanılıyordu.
Güvenilen yazılım şirketlerinin dijital imzalar kullanılarak bilgisayar sistemlerine sızma taktiği özellikle Microsoft Windows sistemlerinde çok yaygın. Örneğin, İran’ın uranyum zenginleştirme programını hedef alan Stuxnet virüsü bu yöntemi kullanmıştı. Fakat bunun için Windows’un dijital imzalarının elde etmesi yoluna gidilmişti. Apple sistemlerini hedef alan siber korsanlık faaliyetlerinde ise sertifikaların çalınması gerekmiyor.
Okta güvenlik şirketinden Joshua Pitts, söz konusu taktiği Şubat ayında tespit ettikten sonra durumu hemen Apple’a ve üçüncü taraf yazılım geliştirici şirketlere bildirmiş.
Araştırmacılar 2015 yılında da üçüncü taraf şirketlerin geliştirdiği programlarda imza kontrollerini açmanın yolunu bulduklarını açıklamıştı. Söz konusu programların, hackerler tarafından doğrudan hedef alınması durumunda kolayca aldatolabilecekleri ortaya çıkmıştı.
Uzmanlara göre bunun sebebi ise Apple’ın yazılımındaki herhangi bir açık değil. Fakat bu şirketin, üçüncü taraf şirketlere sağladığı dokümantasyonunn karmaşık olması edeniyle API’lerin bu şirketlerce yanlış bir şekilde kullanıldığı belirtiliyor.