Trojanske bagdøre og spyware går målrettet efter Mac-brugere

Målrettede angreb og malware, der tilpasser sig den platform, brugeren benytter, har gjort Mac-brugere mere sårbare over for angreb. Historien fra Windows risikerer at gentage sig.

Mac-brugere har i mange år kunnet godte sig af skadefryd, hver gang en ny virus ramte millioner af Windows-brugere. Men den tid er ovre, og nu risikerer historien at gentage sig for Mac'en, advarer sikkerhedseksperter ifølge Teknisk Ukeblad.

På det seneste har der været eksempler på målrettede angreb mod udvalgte Mac-brugere, som blandt andet er gået ud over Facebook, Microsofts Mac-afdeling og Apple selv.

Læs også: Apple hacket: Macs i hovedkvarteret inficeret med malware

Samtidig udnytter malware i dag sikkerhedshuller i tredjepartssoftware som Adobe Flash eller Oracle Java til at sprede sig via kompromitterede hjemmesider, hvor første trin i infektionen genkender brugerens system og vælger det angreb, der passer til styresystemet og browseren.

»Virus fungerer ikke specielt godt på Mac, men det gør trojanere og spyware. Der findes flere millioner varianter af skadelig kode til Windows og kun nogle hundrede til Mac, men det er ikke bevis for, at Mac er sikrere, men kun bevis for at der findes mindre skadelig kode til Mac,« påpeger teknisk sikkerhedskonsulent Gunnar Kristian Kopperud fra Symantec til Teknisk Ukeblad.

Første store angreb i 2012

Mac-platformen var i 1990'erne et populært mål for datidens virusprogrammører, men Mac OS X var i mange år stort set forbigået, mens virusprogrammeringen gik fra at være demonstration af teknisk kunnen og drillesyge til at være et arbejdsredskab for kriminelle.

I 2012 blev Mac-platformen ramt af det første angreb på samme skala som Windows, nemlig Flashback-trojaneren, som anslås til at have inficeret 600.000 Mac-pc'er.

Mens Windows-platformen siden 2003 er blevet forstærket i forsøget på at imødegå truslerne, så har Mac OS X primært trukket veksler på sikkerhedsarven fra Unix. Den sikkerhedsmodel er dog ikke effektiv mod malware, hvor brugeren narres til at installere en trojaner. Derfor er der nu risiko for, at historien fra Windows gentager sig.

»Mac OS X er ikke blevet afprøvet på samme måde og er ikke blevet udsat for lige så meget som Windows, så det er vanskeligt at sige, hvor sikkert det er,« siger malwareekspert Robert Lipovsky fra antivirusfirmaet Eset til Teknisk Ukeblad.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Strøm

Gatekeeper blev introduceret med Mountain Lion, og tillader som standard kun at afvikle programmer fra App Store og programmer der er signeret, og hvor udvikleren er registreret hos Apple, så Apple har sådan set gjort en hel del for at adressere trojanere.

  • 6
  • 2
Anders Tolborg

Hør nu. Jeg skriver eksplicit "Det er sikkert ikke løgn, at en Mac også kan få virus". Selvfølgelig kan den det.

Jeg påpeger blot, at man skal chille lidt med at råbe vagt i gevær, når netop antivirusfirmaer berette om omfanget af virusproblemer. Det samme mener jeg i øvrigt gælder dit rustbeskyttelsesfirma.

Hermed ikke sagt, at det nødvendigvis er tilfældet, at professionelle bevidst prøver at vildlede for fx at få flere til at investere i deres antivirusprogrammer, men blot at for ham med en hammer er alting søm.

  • 7
  • 0
Jesper Lund

Gatekeeper blev introduceret med Mountain Lion, og tillader som standard kun at afvikle programmer fra App Store og programmer der er signeret, og hvor udvikleren er registreret hos Apple, så Apple har sådan set gjort en hel del for at adressere trojanere.

Hvordan fungerer NemID så på Mac? Java appletten downloader binær kode i GIF container, som gemmes somewhere i ~/ og eksekveres derfra med samme rettigheder som den bruger der kører webbrowseren.

Det er muligt at du på Mac kun kan installere software fra en app store, men du kan formentlig få lov til at eksekvere binær kode fra homedir?

For en god ordens skyld: jeg siger ikke at NemID er malware/trojaner/spyware, men det som NemID kan gøre, kan andre også gøre.

Linux, som jeg selv bruger, er heller ingen garanti mod malware.

Microsoft har gjort en stor indsats for at sikre Windows OS, men mange angreb retter sig i dag mod svagheder i Java og Flash browser plugins, og da vi formentlig har stort set samme kodebase på Windows, Mac og Linux, er problemerne med de pågældende browser plugins nok nogenlunde de samme på de tre platforme.

Da det ofte er 0-day exploits, er der ingen grund til at tro at AV software vil gøre anden forskel end at skabe yderligere en angrebsvektor.

Hvis vi skal have bedre browser sikkerhed, skal vi formentlig starte med at udrydde samtlige browser plugins (Java, Flash, Adobe Reader, etc etc), hvorefter ansvaret for browseren vil ligge et, og kun et, sted, nemlig hos browser leverandøren (Microsoft, Mozilla, Google, Apple, Opera, etc etc).

  • 15
  • 0
Henrik Strøm

@Jesper Lund:
Jeg er ganske enig i dine betragtninger.

Når du afvikler et Java program er det Java der afvikler kode i forhold til operativsystemet, og Java er naturligvis signeret. Jeg er ikke klar over om det er Java eller browseren der har denne rolle i tilfældet en Java applet, men NemID appleten er jo også signeret, og man giver den uindskrænket rettigheder til ens computer når man installerer den - hvorfor det så skulle være nødvendigt kan man gisne om.

Udenfor Danmark, hvor man ikke bruger NemID, er behovet for Java nok en hel del mindre, og Java er således heller ikke installeret på en Mac fra Apples side. Det samme gælder Flash. Apple har været ret hurtige til at låse Java og Flash ned i de tilfælde der har været kritiske 0-dags sårbarheder, hvilket også er en strategi jeg bifalder.

For såvidt angår "rigtige" Mac programmer, er OS X ret ligeglad med hvor de ligger henne i filsystemet, de er underlagt de samme restriktioner, men hvad angår den underliggende UNIX del er det .. well, UNIX, men det er nok ikke den store attack vector i dag.

Min pointe var ikke at Mac (eller Linux eller UNIX) er usårlige, men at Apple gør en række gode tiltag, som beskytter almindelige brugere ganske fint.

  • 6
  • 1
Mikkel Krøigård

Det er en sund antagelse at leve med, at man kan blive ramt af noget malware på et tidspunkt.

Ærligt talt så er internettet noget forfærdeligt snask og et virvar af usikre teknologier og amatørkreationer. Jeg forestiller mig ikke, det lige foreløbig bliver sikkert at færdes der på nogen platform.

  • 5
  • 0
Danny Thomsen

Nu gør windows lidt det samme med programmer og driver...
Med Stuxnet så man at man godt kan stjæle den privat nøgle
der bruges og med Flame så man at man kunne udnytte en hash collision
til at signe sine programmer og drivere. Så det er ikke en vej der holder
helt.

  • 3
  • 0
Esben Madsen

Man skal aldrig undervurdere hvor dumt brugere kan opføre sig... og så længe en normal bruger skal kunne benytte en computer (PC/mac/telefon/tablet/andet) ordentligt kan det ikke sikres 100% mod nettets rædsler... Man kan dog gøre mange ting for at begrænse hvor let det er for en bruger at gøre noget dumt og hvor mange advarsler der skal forbigåes før der sker skade... og lige nu er plugins så absolut et af de mest risikable punkter på alle systemer...

  • 3
  • 0
Jimi Hansen

Mens Windows-platformen siden 2003 er blevet forstærket i forsøget på at imødegå truslerne, så har Mac OS X primært trukket veksler på sikkerhedsarven fra Unix.

Det er simpelthen ikke rigtigt, Apple har på de seneste versioner af Mac OS X indført en række sikkerhedsmæssige foranstaltninger. De er ikke helt på niveau med Windows, men det behøver de heller ikke være, for trusselsbilledet er slet ikke det samme.

http://www.macworld.com/article/1167862/up_close_with_mountain_lion_secu...

Apple har meget pragmatisk holdt sig på forkant med udviklingen og tilpasset deres indsats derefter. På iOS har de fx. en meget strengere sikkerhedspolitik.

Derfor er der nu risiko for, at historien fra Windows gentager sig.

Sludder, det er der intet belæg for at sige. Både Wndows 2000 og XP var sikkerhedsmæssigt håbløse, og slet ikke forberedte til at blive koblet på internettet. Microsoft levede ikke op til det ansvar der følger med at have en så udbredt platform, og de kan takke sig selv for den malware-industri der er opstået omkring Windows.

  • 6
  • 6
s_ mejlhede

"Den sikkerhedsmodel er dog ikke effektiv mod malware, hvor brugeren narres til at installere en trojaner."

Hvis man henter java på java's hjemmeside, og fremdeles.
Så skulle der jo ikke være meget andet med :-) ASK. Toolbare er vel mallware. Så vi får også meget malvare med fra "ansvarelige" firmaer.

Men det viser jo netop pointen når man skal give installationsprogrammer administrator adgang for at installere. Alle sådan nogen ting burde køre i en sandbox.

Med hensyn til rustbeskyttelse, så har du 12 års gennemtrærings garanti ved Folkevogn. Hvis du IKKE har rustbeskyttet den. Så ja, stol ikke på en sælger.

I sær ikke når man tænker på hvad antivirus ØDELÆGGER på ens p-er. ->
Bruger uanet resurser, en 4 kernet CPU følges som en enkelt kerne.
Umuligt at fjerne helt.
Ødelægger/stopper andre legaleprogramer
Giver ingen real form for beskyttelse, kun en falsk.
Denne falske trykhed får folk til at installer noget malvare/virus, for de er jo beskyttet.
Antivirus er et produkt som IKKE sælger sig selv, der for skal vi have det proppet ned i halsen, af sælger, som her prøver at sælge et i min øjne ubrugeligt produkt. Hvorfor lægger V2 annonce plads til ?
Eller preinstalleret ved køb af PC-er.

Har selv solgt antivirus programmer, og der findes nogen som gør en god figur, og stopper 99.9% af virus. De er gode på server hvor de kan scanne og fjerne virus på filer som lægges på denne. Men man bliver også syg af den ene promile.

Det blev lidt rodet, håber i forstår min pointe.

  • 1
  • 0
Jakob Damkjær

"Man skal aldrig undervurdere hvor dumt brugere kan opføre sig... og så længe en normal bruger skal kunne benytte en computer "

Noget sikkerheds modellen i Mac OS X netop imødegår. Ikke bare med gatekeeper, men også med den autoopdaterende malware kill list der også kan begrænse adgang til gamle/usikre versioner af legitime plugins.

Se fx. Java clusterfucket fra de sidste par måneder, alle andre platforme skulle gøre noget aktivt for at sikre sig mod exploitsne, på Mac OS X trak Apple i den store håndbremse og med et træk holdt angrebet op med at virke på Mac OS X...

Se det social eng. "Angreb" hvor brugerene blev lokket til at instalere et plugin der sideloadede reklamer. Mindre end et døgn efter det kom til verden var det på kill list og fjernet uden bruger interaktion.

Ja der var engang hvor Mac OS X sikkerhedsmodellen var lidt udefineret men det er år siden og som det står nu levere Mac OS X rigtig god sikkerhed uden tredieparts antivirus der sapper responstiden og uden at der er stort behov for at brugerene er paranoide eller skal udføre ninja cirkus numre som fx Windows brugere skal for at opnå samme sikkerhed (ie. Slå java fra og benyt en særlig browser til java (som man så skal bruge tid og energi på at holde opdateret...).

Så ja anti virus fabrikanterne vil gerne ha dine penge, men det virker ikke som om Mac OS X bliver et Bonanza for dem i nærmeste fremtid.

Ps! Prøvede en surface RT den anden dag, det er da helt absurd hvor meget lag der er i zoom/pan i browseren. Det føles som om man er stang bacardi på færgen fra Helsinki til Stockholm i en orkan... (Se version2 sådan troller man, ikke noget med at gemme sig bag en "ekspert"). Bare bemærkelsesværdigt at i overså laget på surface RT i jeres anmeldelse, det er virkeligt svært at overse og det er røvirriterende, eler fik i en særlig demomodel der ikke laggede i browseren ?

  • 1
  • 2
Bjørn Damborg Froberg

Sophos har en gratis scanner til privat brug til Mac, da de ikke er interesserede i privatmarkedet.
Den har jeg skubbet på min søsters macbook - uden gener til følge.

http://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-mac... til dem der er interesserede.

Ville faktisk gerne hvis nogen IT kyndige personer med en Mac kunne se om den "får en fire-kernet processor til at føles som en en-kernet processor."

Som helhed synes jeg at AV klienter i mange år var rigtig, rigtig tunge og brugte mange resourcer, men efterhånden som de fleste (ikke alle!) er gået væk fra database-modellen og over til lookup i skyen eller adfærds-detection, er ressource kravene så absolut et minimum. Jeg mærker aldrig min klient, hverken privat eller på arbejde. (To forskellige leverandører.)

  • 0
  • 0
kenneth krabat

da f.eks. Firefox og Chrome, samt al software jeg har købt fra udviklernes egne hjemmesider ikke er godkendt af Apple. Hvis det var sådan, at man kunne sætte Gatekeeper til at afvikle programmer, man SELV havde godkendt og ingen andre, ville det være noget andet.

  • 3
  • 0
Jakob Damkjær

da f.eks. Firefox og Chrome, samt al software jeg har købt fra udviklernes egne hjemmesider ikke er godkendt af Apple. Hvis det var sådan, at man kunne sætte Gatekeeper til at afvikle programmer, man SELV havde godkendt og ingen andre, ville det være noget andet.

Sæt dig ind i sagerne, det er netop det fede ved Gatekeeper er at udviklere selv kan signere deres software med det certifikat de får i kraft af deres Apple Developer medlemsskab. Default indstillingen i Gatekeeper er netop at acceptere Mac AppStore OG registrerede Developers.

Så hvordan mener du ikke det hjælper ?

  • 0
  • 3
kenneth krabat

Jeg er komplet ligeglad med, hvad aftalen er mellem Apple og udviklerne. Det er MIN computer.

Jeg har lige opdateret til OSX.8.3 fra x.6.8. Jeg ville gerne bare videre i livet, men Firefox og Apple havde åbenbart ikke indgået nævnte aftale. Så jeg var nødt til at sige "tillad alle programmer" for at kunne køre Firefox.

Igen: Det her er MIN computer. Hvis Apple vil implementere en bremse, der forhindrer visse programmer i at blive startet, vil JEG være dén, der bestemmer, hvilke programmer. Jeg tager gerne imod anbefalinger - f.eks. at Apple garanterer bestemte programmer. Men der mangler en funktion, som er MINE tilladelser.

Var det klart nok formuleret for dig nu, Jakob Damkjær?

  • 3
  • 0
Log ind eller Opret konto for at kommentere