Ist Mac OS X wirklich so sicher, wie oft angenommen wird?

Mac Security – Ein Satz mit X
Kommentare

Mac OS X ist sicher. Behauptet zumindest Apple. So sicher, dass man dort lange Zeit behauptete, Virenscanner seien überflüssig und Viren ein Windows-Problem. Dass das die Hersteller der Virenscanner natürlich ganz anders sehen, ist verständlich. Wer hat Recht? Kann man Mac OS X nicht angreifen, oder wollte es nur keiner angreifen? Ein Überblick über neun Jahre gefühlter Sicherheit im Zeichen des angebissenen Apfels, in dem dann doch ein Wurm saß…

Im Gegensatz zu iOS mit seinem relativ guten Sicherheitskonzept samt „walled garden“ des App Stores hatte Mac OS X zumindest anfangs kein echtes Sicherheitskonzept – und eigentlich gibt es das heute noch nicht. Man verließ sich auf die Sicherheit, die Unix als Mehrbenutzersystem von Haus aus mitbrachte. Der Administrator verwaltet den Rechner, der normale Benutzer nutzt ihn. Einen Root-Benutzer gibt es gar nicht, zumindest keinen, der sich einloggen könnte. Da es oft nur einen einzigen Benutzer gibt, ist der dann gleichzeitig der Administrator, und statt zweier getrennter Benutzerkonten wird meist ein einziges mit den Rechten, den Rechner zu verwalten, verwendet. Und schon ist eine der Schutzmaßnahmen hinfällig, da dieser Benutzer Schaden anrichten kann, der ihm meist gar nicht bewusst ist.

Die optionale Verschlüsselung des Dateisystems ist in dieser Konstellation nicht von Bedeutung. Sie schützt höchstens bei einem Diebstahl des Geräts. Falls es Schadsoftware oder allgemein einem Angreifer gelingt, sich auf einem laufenden Rechner einzuschleichen, hat sie oder er zumindest auf die Daten des angegriffenen Benutzers Zugriff.

Lange Zeit riet Apple auch von der Nutzung eines Virenscanners ab – mangels Schadsoftware gab es einfach keinen Bedarf dafür. Erst sehr spät nahm man von dieser Einstellung Abstand, und einige Zeit später implementierte man selbst einen rudimentären Virenscanner.

Inzwischen hat Apple den Mac App Store eingeführt, und für die darin aufgelisteten Programme wird es früher oder später auch die Pflicht zur Nutzung der Sandbox geben. Mit Mac OS X „Mountain Lion“ wurde mit „Gatekeeper“ die Möglichkeit geschaffen, optional die Ausführung von nicht aus dem Mac App Store geladenen Programmen oder von Programmen ohne vertrauenswürdige Signatur zu verbieten. Man versucht also, die Benutzer in einen „walled garden“ zu locken, der eigentlich überhaupt nicht verlockend aussieht. Und was die Sicherheit betrifft, hat der Mac App Store sogar einen großen Nachteil: Apple braucht zu lange, um Updates zu prüfen und zuzulassen. Dadurch werden dringende Sicherheitsupdates verzögert ausgeliefert. Aber werfen wir mal einen Blick auf die Sicherheit von Mac OS X im Laufe der Zeit. Los geht es mit der Theorie.

Angriffe durch Forscher

Sicherheitsforscher haben sich immer wieder mit der Sicherheit von Mac OS X beschäftigt. Das Folgende ist ein Auszug, der Schwerpunkt liegt auf den „Black Hat“-Konferenzen. Auch auf vielen anderen Sicherheitskonferenzen wurden Vorträge zum Mac gehalten, die Website der „Black Hats“ hat aber das bei Weitem beste Archiv.

Der Januar 2007 wurde von Lance M. Havok und Kevin Finisterre zum „Month of Apple Bugs“ erklärt: Sie veröffentlichten jeden Tag eine neue Schwachstelle in Mac OS X oder Mac-Programmen. Darunter einige, die als kritisch eingestuft wurden und die Ausführung von Code aus der Ferne oder lokale Privilegieneskalation erlaubten. Im Juni 2007 stellte Charlie Miller, von dem noch öfter die Rede sein wird, auf der „Black Hat USA 2007“ Angriffe auf die damals aktuelle Version „Leopard“ von Mac OS X vor. Entgegen der Ankündigung beschäftigte sich gut die Hälfte seines Vortrags mit der Sicherheit des iPhones, im Whitepaper geht er aber ausführlicher auf die Mac-Angriffe ein.

Dass es prinzipiell gar nicht schwierig ist, Code in Mac-Programme einzuschleusen, hat Vincenzo Iozzo im Februar 2009 auf der „Black Hat DC 2009“ gezeigt. Er hatte sich mit dem von Mac OS X für ausführbare Dateien verwendeten Mach-O-Dateiformat und Angriffen darauf beschäftigt. Wie man Schwachstellen in Mac OS X findet und Exploits dafür entwickelt, haben Dino Dai Zovi und Charlie Miller im März 2009 auf der „CanSecWest 2009“ beschrieben. Im April 2009 hielt Charlie Miller dann zusammen mit Vincenzo Iozzo auf der „Black Hat Europe 2009“ einen Vortrag über die Entwicklung von Payloads für Mac OS X.

Neue, Mach-basierte Rootkits für Mac OS X wurden von Dino Dai Zovi im Juli 2009 auf der „Black Hat USA 2009“ vorgestellt. Der Kernel von Mac OS X ist ein Hybrid aus BSD- und Mach-Kernel. Während Rootkits für FreeBSD seit Langem ausführlich untersucht sind, gibt es deutlich weniger Untersuchungen der Möglichkeiten, die der Mach-Teil des Kernels bietet. Im Januar 2011 hielten Dino Dai Zovi und Vincenzo Iozzo auf der „Black Hat DC 2011“ einen Workshop zur Exploit-Entwicklung unter Mac OS X. Von der Suche nach Schwachstellen bis zum Schreiben des Exploits wurden alle Schritte vorgeführt. Im März 2011 hielt Vincenzo Iozzo den gleichen Workshop auf der „Black Hat Europe 2011“.

Die Schutzfunktionen der Kernel von Linux, Windows, Mac OS X, FreeBSD, iOS und Android gegen die Ausnutzung von Speicherverletzungen samt möglicher Angriffe darauf wurden im März 2011 auf der „Black Hat Europe 2011“ von Patroklos Argyroudis und Dimitrios Glynos vorgestellt. Die Rolle von Mac OS X in Zeiten der Advanced Persistent Threats wurde von Alex Stamos, Aaron Grattafiori, Tom Daniels, Paul Youn und B.J. Orvis im August 2011 auf der „Black Hat USA 2011“ beleuchtet. Als Advanced Persistent Threat (APT) werden die oft von Staaten ausgehenden, mit viel Aufwand durchgeführten gezielten Angriffe auf Unternehmen und Organisationen bezeichnet. Denen hat Mac OS X relativ wenig entgegen zu setzen. Bei Windows sieht es allerdings auch nicht besser aus.

Auf der gleichen Konferenz stellte Charlie Miller seine Untersuchungen der Firmware der Embedded Controller in den Lithium-Ionen- und Lithium-Polymer-Akkus der MacBooks vor. Das ist aber mehr eine Spielerei – sehr wahrscheinlich kann ein Angreifer maximal den Akku unbrauchbar machen. Im November 2011 veröffentlichte Core Security ein Security Advisory, in dem auf eine Schwachstelle in den von Apple vordefinierten Sandbox-Profilen hingewiesen wird: Einige der Beschränkungen lassen sich über Apple Events umgehen. Apple hat daraufhin eine Anpassung der Dokumentation angekündigt, um klarzustellen, dass sich die Einschränkungen der vordefinierten Profile nur auf den jeweiligen Prozess beziehen.

Rootkits für die EFI-Firmware der Macs wurden von Loukas K im Juli 2012 auf der „Black Hat USA 2012“ vorgestellt. Im August 2012 wies Jonathan Grynspan auf einen Schwachpunkt in der FileVault-2-Verschlüsselung hin: Erlaubt der Benutzer das Zurücksetzen des Passworts mithilfe der Apple ID, kann jeder, der Apple ID und zugehöriges Passwort kennt, auf die mit FileVault geschützten Daten zugreifen. Ist das ein Problem? Eigentlich nicht, da niemand Apple ID und Passwort des Benutzers kennen sollte. Denn sonst hat der noch ganz andere Probleme. Einer Analyse von Omar Choudary, Felix Gröbert und Joachim Metz zufolge ist FileVault 2 ansonsten sicher. Lediglich die Entropie des Recovery-Passworts könnte verbessert werden, und Teile der Benutzerdaten aus der Systeminstallation bleiben nach der Verschlüsselung unverschlüsselt auf der Platte zurück, bis sie überschrieben werden.

Im November 2012 demonstrierte Bogdan Calin, wie über eine präparierte E-Mail durch einen Cross-Site-Request-Forgery-Angriff die Einstellungen von SOHO-Routern manipuliert werden können. Dabei können zum Beispiel die Einstellungen des Nameservers geändert werden, sodass der Angreifer sein Opfer beispielsweise auf eine Phishing-Seite locken kann. Das funktioniert prinzipiell mit jedem betroffenen Router und jedem E-Mail-Client. Erwähnenswert ist es hier nur, weil Bogdan Calin sich iOS und Mac OS X für seine Demonstrationen ausgesucht hat.

Mehr Hintergrund
Mehr Fakten, Quellen und Hintergrundmaterial zu diesem Artikel finden Sie unter http://bit.ly/WYB8nn. Dort steht auch eine vollständige Chronik zum Thema Mac OS X Security bereit.

Aufmacherbild: Engineering in data center room von Shutterstock / Urheberrecht: watcharakun

[ header = Pwn2Own ]

Zwischenfazit 1

Die Sicherheitsforscher haben immer wieder theoretisch und teilweise an Beispielen auch praktisch gezeigt, dass es möglich ist, Schwachstellen in Mac OS X erfolgreich auszunutzen. Wie das in der Praxis aussehen kann, wurde auf den Pwn2Own-Wettbewerben, die seit 2007 auf der Sicherheitskonferenz CanSecWest abgehalten werden, demonstriert. Dort ist Mac OS X mit Ausnahme von 2012 jedes Jahr negativ aufgefallen.

Pwn2Own

Die Regeln der Pwn2Own-Wettbewerbe waren bis 2012 recht einfach: Die Veranstalter stellten einige Notebooks und später auch Smartphones bereit. Wer ein Gerät als erster erfolgreich kompromittierte, durfte es behalten und bekam teilweise noch einen Geldpreis dazu. 2012 wurden die Regeln verschärft, was viele potenzielle Teilnehmer abschreckte. Beim ersten Wettbewerb 2007 standen je ein 15″- und ein 17″- MacBook als Angriffsziel bereit; damals lief der Wettbewerb unter dem Titel „Hack a Mac“. Dadurch sollte die Unsicherheit von Mac OS X demonstriert werden. Um das MacBook zu gewinnen, musste der Angreifer beim 15″-Gerät Code einschleusen und mit normalen Benutzerrechten ausführen, beim 17″-Gerät wurde die Codeausführung mit Root-Rechten verlangt. Dino Dai Zovi konnte durch eine Drive-by-Infektion auf dem 15″-MacBook-Code ausführen, wodurch er den Wettbewerb gewann.

2008 wurde der Wettbewerb um weitere Geräte erweitert: Außer einem MacBook Air mit Mac OS X standen je ein Notebook mit Windows Vista und Ubuntu Linux als Angriffsziele bereit. Am zweiten Tag des Wettbewerbs konnten Charlie Miller, Jake Honoroff und Mark Daniel das MacBook über eine Schwachstelle in Safari kompromittieren und gewannen damit das Gerät und 10 000 US-Dollar. Noch mehr Geräte als Angriffsziele standen 2009 bereit. Da sich mehrere Teilnehmer angemeldet hatten, jedes Gerät aber nur einmal gewonnen werden konnte, wurde die Startreihenfolge ausgelost. Charlie Miller hatte Glück und wurde für den ersten Versuch ausgelost. Er konnte das bereit gestellte MacBook Air innerhalb von zwei Minuten erfolgreich kompromittieren. Die ausgenutzte Schwachstelle kannte er schon seit einem Jahr, er hatte sie extra für den Wettbewerb zurückgehalten. Sein Preis: Das MacBook Air und 5000 US-Dollar. Nach ihm gelang das gleiche noch Nils, der dafür ebenfalls 5000 US-Dollar bekam.

2010 galten mehr oder weniger die gleichen Bedingungen wie 2009. Wieder gewann Charlie Miller das MacBook plus 10 000 US-Dollar, wieder mithilfe einer Drive-by-Infektion. Auch Nils konnte erneut das MacBook erfolgreich angreifen, das Gerät hatte aber wie im Vorjahr Charlie Miller bereits gewonnen.

Auch 2011 galten ungefähr die gleichen Regeln wie in den Vorjahren. Das MacBook wurde diesmal vom Team des französischen Sicherheitsunternehmens VUPEN gewonnen, das vor Charlie Miller ausgelost worden war und das Gerät erfolgreich kompromittieren konnte – übrigens auch mit einer Drive-by-Infektion. Charlie Miller ging aber auch 2011 nicht leer aus, er kompromittierte gemeinsam mit Dion Blazakis erfolgreich ein iPhone. Wie schon erwähnt, wurden die Regeln 2012 gründlich geändert. Daraufhin nahmen mehrere Forscher, unter ihnen Charlie Miller, nicht mehr am Wettbewerb teil. Und erstmals wurde das MacBook mit Safari nicht über eine bisher unbekannte Schwachstelle kompromittiert. Was aber nicht an dessen Sicherheit lag: Es hat einfach niemand versucht. In einem zweiten Wettbewerbsteil mussten Exploits für bereits gepatchte Schwachstellen entwickelt werden, dabei wurde Safari unter Mac OS X zwei Mal Opfer eines erfolgreichen Angriffs.

Zwischenfazit 2

Theoretisch sind Angriffe möglich, praktisch sind Angriffe möglich – das klingt doch ganz so, als müsste es massenhaft Angriffe auf Mac OS X geben, oder? Wie sieht es also damit aus? Gibt es Schadsoftware für den Mac?

[ header = Schadsoftware im Überblick ]

Schadsoftware im Überblick

Natürlich gibt es Schadsoftware für Mac OS X. Aber bis die gefährlich wurde, war es ein langer Weg. Der Vollständigkeit halber geht es jetzt noch weiter zurück in die Vergangenheit als oben.

Der erste Trojaner für Mac OS X wurde bereits im April 2004 veröffentlicht: Amphimix gab sich als MP3-Datei aus und war sogar eine, gleichzeitig aber tatsächlich ein ausführbares Programm. Wurde der Trojaner geöffnet, startete das Programm und übergab die MP3-Datei an iTunes. Es handelte sich um einen reinen Proof of Concept ohne weitere Relevanz. Im Oktober 2004 folgte der erste Wurm für Mac OS X: Renepo. Renepo war ein Shellscript und ebenfalls lediglich ein Proof of Concept, der nicht „in the wild“ gesichtet wurde. Seine Schadfunktion bestand darin, Schutzfunktionen wie die Firewall auszuschalten und weitere Systemeinstellungen zu ändern.

Im Februar 2006 wurde der erste Instant-Messaging-Wurm für Mac OS X gefunden: Leap verbreitete sich über iChat und versuchte, die zuletzt genutzten Programme mit sich selbst zu überschreiben. Außerdem versuchte der Wurm, sich an alle iChat-Kontakte zu senden. Seine Verbreitung war sehr gering. Kurz darauf folgte der Wurm Inqtana, der sich über Bluetooth verbreitete. Eine Schadfunktion gab es nicht, und die Verbreitung war auch nicht der Rede wert. Kein Wunder, mit Bluetooth kommt man nun mal nicht weit, sofern der infizierte Rechner nicht ständig eingeschaltet durch die Gegend getragen wird. Der erste Virus für Mac OS X wurde im November 2006 entdeckt: Macarena verbreitet sich, indem er sich an andere Programme anhängt. Es handelte sich um einen ziemlich fehlerhaften Proof of Concept ohne nennenswerte Verbreitung.

Der erste plattformübergreifende Schädling, der neben Windows auch Linux und Mac OS X infizierte, wurde im Mai 2007 „entdeckt“: BadBunny. Es handelte sich um einen Makro-Wurm für OpenOffice, der unter Mac OS X eins von zwei Ruby-Skripten anlegte, die für die weitere Verbreitung zuständig waren. Das „entdeckt“ steht in Anführungszeichen, weil die Wurm-Entwickler ihn direkt an Sophos geschickt haben, in freier Wildbahn wurde der Wurm nicht gesichtet.

Langsam wird es ernst. Sehr langsam!

Wir sind jetzt im Sommer 2007, und bisher war relativ wenig los. Gäbe es ein Zeugnis, würde das wohl „Theorie ausreichend – Praxis mangelhaft“ lauten. Aber so langsam wurden die Cyberkriminellen aktiver und gaben sich bei der Entwicklung ihrer Schädlinge mehr Mühe.

Der erste Trojaner für Mac OS X, der die DNS-Einstellungen manipuliert, wurde im November 2007 entdeckt. RSPlug wurde als angeblicher Codec verbreitet – im Allgemeinen über Pornoseiten, denn auch für Schadsoftware gilt die alte Regel „Sex sells!“. Wollte ein Besucher der Seiten ein Video ansehen, sollte er einen angeblich fehlenden Codec installieren, der als Disk-Image zum Download angeboten wurde. Installierte der Benutzer den „Codec“, wurden die DNS-Einstellungen geändert und der erfolgreiche Angriff an einen Server der Cyberkriminellen gemeldet. Dieser Trojaner erreichte sogar eine gewisse Verbreitung, wenn sie auch recht gering blieb. Die ersten Versuche zur Verbreitung von Scareware in Form von Fake-Virenscannern wurden im Februar 2008 entdeckt. Der „MacSweeper“ oder „Imunizator“ genannte Fake-Virenscanner fand angeblich jede Menge gefährlicher Dateien, für deren Beseitigung man das Programm kaufen sollte. Im Grunde war das nichts Neues, für Windows gibt es diese Schädlinge schon lange, die Cyberkriminellen mussten nur ihre Oberfläche an den Mac anpassen, denn es handelte sich lediglich um Flash-Anwendungen. Scareware blieb für einige Zeit auch die größte Gefahr für den Mac, wie Sie gleich noch sehen werden.

Im August 2008 gab es den nächsten Trojaner, der sich als angeblicher Codec verbreitete: RKOSX. Seine Schadfunktion: das Installieren einer Hintertür. Seine Verbreitung: nicht der Rede wert. Was der Rede wert ist, ist die Verwirrung, die entsteht, wenn verschiedene Antivirenhersteller unterschiedliche Namen für den gleichen Schädling verwenden. Am Ende spricht man dann schnell über den falschen Schädling. Ein weiterer Trojaner folgte im November 2008: Jahlav. Angeblich ein Key-Generator für Raubkopien, tatsächlich ein Programm zum Installieren einer Backdoor. Über seine Verbreitung brauchen wir gar nicht zu reden, es lohnt sich nicht.

Im Januar 2009 begannen die Cyberkriminellen, Raubkopien zum Verbreiten ihrer Trojaner zu nutzen. Die erste so präparierte Raubkopie war eine Version von iWork 09, was dem Trojaner den Namen iWorkServices oder iWorkS einbrachte. Seine Schadfunktion bestand im Öffnen einer Backdoor. Etwas später wurden dann Raubkopien von Photoshop zur Verbreitung genutzt, der Trojaner gab sich dabei als angeblich benötigtes Crack-Programm aus. Allem Anschein nach waren diese Ansätze zumindest in engen Grenzen sogar erfolgreich.

Im März 2009 tauchte eine neue Version des Trojaners RSPlug auf, diesmal nicht als Video-Codec, sondern als angebliches HDTV/DTV-Programm mit den Namen „MacCinema“. Der erste E-Mail-Wurm für Mac OS X wurde im Mai 2009 entdeckt: Tored. Fehler im Code schränkten seine Verbreitung aber ziemlich ein, sodass die Schadfunktion keinen großen Schaden anrichtete: das Sammeln von E-Mail-Adressen.

[ header = Apple veröffentlicht einen Virenscanner ]

Apple veröffentlicht einen Virenscanner

Im August 2009 wurde Mac OS X „Snow Leopard“ veröffentlicht – die erste Mac-Version, die einen rudimentären Virenscanner enthielt (den Apple aber nicht als solchen bezeichnet sehen wollte). Ganze zwei Trojaner-Familien wurden davon erkannt. Zudem wurden die Trojaner nur bemerkt, wenn sie von einem Programm heruntergeladen wurden, das die entsprechenden Funktionen nutzt, wie beispielsweise Safari und Mail (und sonst eigentlich keines). Es handelt sich also eigentlich nicht wirklich um einen Virenscanner, eher um einen Virenerkenner – wenn er über einen bekannten Schädling stolpert, erkennt er ihn. Gesucht wird nicht, und viele Bekannte hat dieser digitale Einsiedler auch nicht.

Ein gefährliches Spiel sorgte im November 2009 für Aufregung: Bei „Lose/Lose“ sollten die Spieler Aliens abschießen, und bei jedem Treffer wurde vom Spiel eine Datei von der Festplatte gelöscht. Bevor Sie jetzt schimpfen, wie fies das doch ist: Die Benutzer wurden beim Start des Spiels über die Konsequenzen informiert. Jede Alien-Figur war mit einer zufällig ausgewählten Datei verknüpft. Wurde die Figur abgeschossen, wurde die Datei gelöscht. Für die Antivirenhersteller war das Spiel ein Trojaner, der Entwickler selbst hielt es für Kunst. Da die Benutzer über die Konsequenzen informiert wurden, hätten sie sich besser an die Erkenntnis des Computers aus dem Film „Wargames“ halten sollen: „Ein seltsames Spiel. Der einzig gewinnbringende Zug ist, nicht zu spielen.“ („A strange game. The only winning move is not to play.“). Ein weiterer echter Trojaner wurde im April 2010 entdeckt: Pinhead bzw. HellRTS (die Antivirenhersteller waren sich beim Namen mal wieder nicht einigt). Getarnt als iPhoto, installierte das Programm in Wahrheit eine Hintertür. Seine Verbreitung war zumindest so groß, dass sogar Apple darauf aufmerksam wurde: Im Juni 2010 aktualisierte man den Virenschutz in Mac OS X „Snow Leopard“, sodass auch HellRTS erkannt wird.

Ebenfalls im Juni 2010 wurde Spyware für Mac OS X entdeckt: OpinionSpy wurde beispielsweise zusammen mit Bildschirmschonern verbreitet und spähte das Onlineverhalten der Benutzer aus. Es soll sich ja kein Mac-Benutzer beklagen können, für Mac OS X gäbe es nicht die gleiche Programmauswahl wie für Windows. Ein Trojaner, der über Facebook verbreitet wurde und Windows, Linux und Mac OS X angreifen konnte, wurde im November 2010 entdeckt: Boonana kam als Java-Applet auf die Rechner und lud dann den zum System passenden Schadcode nach. Und das sogar mit einigem Erfolg.

Im Februar 2011 wurden die ersten Versionen von zwei Remote Access Toolkits (RAT, teilweise wird das T auch als Abkürzung für Trojan gedeutet) entdeckt, die als Backdoor auf kompromittierten Rechnern installiert werden. Es handelt sich dabei im Grunde um Fernwartungsprogramme, aber aus der sehr dunklen Grauzone zwischen normaler Software und Schadsoftware. Wenn sich gleich zwei Entwickler die Mühe machen, RATs für Mac OS X zu entwickeln, scheinen sie mit einem Markt für solche Programme zu rechnen. Fake-Virenscanner machten im Mai 2011 mal wieder von sich reden. Darunter befand sich auch der erste auf JavaScript basierende Fake-Scanner für Mac OS X. Fake-Scanner richten keinen Schaden an, verleiten den Benutzer aber womöglich zum Kauf der angeblich benötigten Vollversion. Mit etwas Glück macht die gar nichts (außer Geld zu kosten), im schlimmsten Fall enthält sie selbst weitere Schadsoftware.

Diese Fake-Scanner entwickelten sich zu einer kleinen Plage. Aber sollte ein Benutzer auf die Idee kommen, Apple um Hilfe zu bitten, hatte er zumindest anfangs damit kein Glück: Bei Apple vertrat man den Standpunkt, dass man in solchen Fällen keine Hilfestellung geben könne. Zum Glück besann man sich dann doch noch eines Besseren, denn die Scareware wurde immer besser: Während die ersten Versionen noch die Eingabe des Administratorpassworts für die Installation erforderten, gab es Ende Mai die erste Version, die auch ohne Authentifizierung auskam. Das Programm sah wie das normale Installationsprogramm von Apple aus, installierte die Scareware aber „nur“ für den angemeldeten Benutzer. Apple erweiterte den eigenen Virenscanner durch ein Update um eine Erkennung der Scareware. Außerdem kann nun täglich nach Updates gesucht werden. Im September 2011 gab es dann mal wieder einen Trojaner für Mac OS X, der sich diesmal als PDF-Datei tarnte, um eine Backdoor zu installieren: Revir.

Großes kündigt sich an – blitzartig!

Ebenfalls im September 2011 tauchte erstmals der Flashback-Trojaner auf, der damals noch eine steile Karriere vor sich hatte. Wie der Name schon verrät, tarnt sich der Trojaner als angebliches Update für Adobes Flash Player, installiert aber heimlich eine Backdoor. Ein weiterer Trojaner, der eine Backdoor installiert, wurde im Oktober 2011 entdeckt: Tsunami. Das Besondere an diesem Trojaner: Es handelt sich vermutlich um die Portierung eines Linux-Trojaners, der für DDoS-Angriffe genutzt wird. Zumindest Sophos hat den Trojaner aber nicht im Umlauf gefunden.

Weiter verbreitet war der ebenfalls im Oktober 2011 entdeckte Trojaner Miner, der zum Beispiel mit Kopien des Graphic Converter über Torrent-Sites verbreitet wurde. Dieser Trojaner hatte eine interessante Schadfunktion: Außer die Benutzer auszuspähen, nutzte er auch die GPU zum Berechnen von Bitcoins. Im März 2012 gab es dann mal wieder einen Trojaner, der das alte „Sex sells“-Motto nutzte und sich als Foto des halbnackten Models Irina Shayk tarnte: Imuler. Im gleichen Monat wurde ein Trojaner entdeckt, der eine 2009 gepatchte Schwachstelle in Microsoft Word ausnutzte. Wird eine präparierte Word-Datei geöffnet, wird ohne weitere Aktion des Benutzers eine Backdoor im System installiert.

Zwischenfazit 3

Bis hierhin konnten sich die Mac-Benutzer in relativer Sicherheit wiegen: Solange sie keinem Social-Engineering-Trick zum Opfer fielen und beispielsweise einen Trojaner installierten, konnten sie ihre Rechner kaum mit Schadsoftware infizieren. Selbst die präparierte Word-Datei stellte keine Gefahr dar, solange der Benutzer sie nicht freiwillig öffnete. Jetzt aber wird es hässlich, die ersten Infektionen ohne Benutzeraktion treten auf.

[ header = Drive-by-Infektionen – Angriffe ohne Benutzeraktion ]

Drive-by-Infektionen – Angriffe ohne Benutzeraktion

Im April 2012 gab es den nächsten Angriff über Schwachstellen, diesmal in Java. Ausgenutzt wurden zwei Schwachstellen, die Oracle schon im Februar in der offiziellen Java-Implementierung behoben hatte, die aber in Apples davon abgeleiteter Version noch vorhanden waren. Erst jetzt veröffentlichte Apple ein Update, um die eigene Version auf den offiziellen Stand zu bringen. Der Schädling, der diese Schwachstelle ausnutzte, war der erstmals im September 2011 entdeckte Trojaner Flashback. Statt sich als Flash Player zu tarnen, nutzte er nun die Java-Schwachstellen aus, um sich auf den Rechnern der Besucher präparierter Webseiten einzuschleichen. Nach dem Start tarnte der Trojaner sich als das offizielle Installationsprogramm von Apple und erschlich sich per Social Engineering die Erlaubnis zum Installieren des Schadcodes.

So weit, so schlecht. Vorsichtige Benutzer waren aber noch relativ sicher. Wer einem plötzlich auftauchenden Installationsprogramm die Zustimmung verweigerte, entging dem Trojaner. Zumindest in der Theorie. Anscheinend hat man den Leuten nicht oft genug gesagt, dass sie nicht einfach mal so das Administratorpasswort eingeben sollen. Denn in der Praxis fielen sehr viele Benutzer auf den Trick herein, evtl. weil sie durch sich selbst aktualisierende Programme an das Auftauchen entsprechender Nachfragen gewohnt waren? Jedenfalls gelang es Flashback, ein für Mac-Verhältnisse riesiges Botnet aufzubauen, das ca. 600 000 Macs und damit ungefähr 1 % aller vorhandenen Mac-Rechner umfasste.

Schon wenig später gab es eine Flashback-Variante, die als echte Drive-by-Infektion ohne Passworteingabe auskam. Nun reichte der Besuch einer präparierten Webseite, um den Rechner mit Flashback zu infizieren. Weitere Schädlinge, die die Java-Schwachstelle ausnutzten, folgten. Inzwischen hat auch Apple eingesehen, dass es nicht mehr möglich ist, die Gefahr durch Schadsoftware zu ignorieren. Zumindest die Marketingabteilung hat ihre Aussagen angepasst.

Und wie geht es weiter?

Mit der als Drive-by-Infektion verbreiteten Flashback-Variante ist klar, dass Mac OS X ebenso gefährdet ist wie Windows. Drive-by-Infektionen sind die zurzeit größte Gefahr im Internet, entsprechend präparierte Seiten gibt es schon lange nicht mehr nur in den Schmuddelecken bei Pornos und Raubkopien. Auch harmlose Seiten werden immer wieder entsprechend präpariert, zum Beispiel durch SQL-Injection-Angriffe, ausgespähte Zugangsdaten oder kompromittierte Werbeserver.

Und die Cyberkriminellen werden auch flexibler: Im Juli 2012 wurde ein Java-basierter Schädling entdeckt, der Windows, Linux und Mac OS X angreifen kann, so wie es schon 2010 Boonana konnte. Beim Aufruf einer infizierten Seite versuchte das signierte Applet, sich mittels Social Engineering die Erlaubnis zur Ausführung zu erschleichen. Stimmt der Benutzer zu, prüft die JAR-Datei, um welches Betriebssystem es sich handelt, um dann den passenden Schadcode zum Öffnen einer Hintertür nachzuladen. Ebenfalls im Juli 2012 wurde Crisis bzw. Morcut entdeckt, ein Mac-Schädling, der über ein Java-Applet, anfangs unter dem Namen AdobeFlashPlayer.jar, verteilt wurde. Bei Bedarf kann das Applet auch eine Windows-Variante installieren. Auffällig ist, dass der Schädling nicht in freier Wildbahn, sondern nur bei VirusTotal gefunden wurde.

Crisis/Morcut ist unter anderem in der Lage, den Benutzer über Webcam und Mikrofon auszuspionieren. Bei Kaspersky vermutet man, dass Crisis/Morcut nicht für den Schwarzmarkt, sondern für Strafverfolgungsbehörden entwickelt wurde, was von Intego unterstützt wird. Kurz darauf hat Intego dann berichtet, dass der Schädling im Rahmen eines gezielten Angriffs auf marokkanische Journalisten eingesetzt wurde. In der Windows-Version wurden von Symantec im August weitere unangenehme Fähigkeiten entdeckt: Der Schädling infiziert auch VMware-Images und Windows-Mobile-Systeme. Symantec hat ein Whitepaper mit einer detaillierten Beschreibung des Schädlings veröffentlicht.

Zum Abschluss des Jahres 2012 gab es dann noch einen Trojaner, der seine Opfer teuer zu stehen kommen konnte: SMSMonster bzw. SMSSend.3666 tarnt sich als Installationsprogramm für die Mac-Version des Programms „VKMusic“ zum Herunterladen von Videos und Audios von Websites. Tatsächlich fragt das Programm die Handynummer des Benutzers ab, um ihm über einen SMS-Dienst Geld zu stehlen. Auch diesmal kamen Windows-Benutzer nicht ungeschoren davon, auch für sie gab es eine Variante. Apple hat sehr schnell reagiert und seinen Virenscanner Xprotect angepasst.

Java – Grundlage systemübergreifender Schadsoftware

Generell scheint der Trend in Richtung „Multi-Plattform-Schädlinge“ zu gehen: Ebenfalls im August 2012 wurde das Fernwartungstool NetWire für Mac, Windows, Linux und Solaris veröffentlicht, das zumindest teilweise zur Schadsoftware zu rechnen ist. Eine 0-Day-Schwachstelle in Java, über die beliebiger Code ausgeführt werden konnte, wurde Ende August 2012 entdeckt und ausgenutzt. Obwohl der Exploit sowohl unter Windows als auch unter Mac OS X funktionierte, wurde anfangs nur ein Windows-Schädling verbreitet. Angeblich wurde später aber auch noch eine Tsunami-Variante über diese Schwachstelle verteilt.

„Jacksbot“ (auch als Java RAT bzw. jRAT bekannt), eine Java-basierte Hintertür für Windows, die zumindest teilweise auch unter Linux und Mac OS X funktioniert, wurde im Oktober 2012 entdeckt. Ende November/Anfang Dezember 2012 wurden tibetanische Websites mit einem Java-basierten Exploit für Drive-by-Infektionen präpariert, der Spyware für Mac OS X (genannt Dockster) und Windows installieren kann.

Fazit

Wenn Sie jetzt den Rat „Installieren Sie einen Virenscanner, dann sind Sie in Sicherheit“ hören wollen, muss ich Sie enttäuschen. Ein Virenscanner ist gut, wenn es um das Erkennen bekannter Angriffe geht. Bei neuen Schädlingen versagt er oft. Man muss ihn deshalb nicht gleich als Schlangenöl bezeichnen, er ähnelt mehr einer digitalen Schutzimpfung. Denken Sie mal an die jährliche Grippeschutzimpfung, die wirkt auch nur gegen einige wenige Erreger, auch wenn viele Leute denken, sie wären damit auch vor einer normalen Erkältung sicher.

Sie können einen Virenscanner installieren; viel wichtiger ist es aber, das System und die Anwendungen auf dem aktuellen Stand zu halten (was mit dem Mac App Store nicht unbedingt immer garantiert ist) und das System etwas härten. Das betrifft unter Mac OS X vor allem Java. Wenn Sie Java im Browser nicht brauchen, schalten Sie das Java-Plug-in aus. Weitere Hinweise zur Sicherung von Mac OS X gibt es vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -