Après l'avoir signalée à Apple le 22 février, le chercheur en sécurité Filippo Cavallarin a attendu un délai de 90 jours avant de divulguer publiquement une faille de contournement de Gatekeeper. Elle permet d'exécuter du code non sûr sur macOS, sans la demande d'autorisation de l'utilisateur.

Filippo Cavallarin a constaté que Gatekeeper considère les disques externes et les partages réseau comme des emplacements sûrs et permet à toutes les applications qu'ils contiennent de s'exécuter. Une exploitation de la faille s'appuie sur des liens symboliques qui ne sont pas vérifiés et renvoient vers de tels emplacements.

Des chercheurs en sécurité d'Intego ont découvert via VirusTotal de premières tentatives d'exploitation de cette vulnérabilité 0-day (sans patch d'Apple) avec des échantillons d'un malware baptisé OSX/Linker. Il s'agirait d'un malware encore expérimental.

Contrairement à la preuve de concept de Filippo Cavallarin qui utilise une archive .zip contenant un lien symbolique, les échantillons ont recours à un format d'image disque avec un nom de fichier .dmg et des liens vers une application sur un serveur NFS.

Les images disque étaient déguisées en installateurs Flash Player. Il y a manifestement une forme de tâtonnement pour tester divers artifices susceptibles de tromper des protections, et a priori pas de campagne malveillante pour le moment.

Intego a établi une corrélation entre OSX/Linker et les auteurs de OSX/Surfbuyer qui est un adware. Un identifiant de développeur a été communiqué à Apple pour la révocation du certificat.

Par contre, c'est le mystère pour la correction de la faille de Gatekeeper, alors qu'il y a manifestement un travail de prospection pour l'exploiter avec un malware.