Ondrej Holzman Mac-computere bliver angrebet af ny malware, der tager skærmbilleder uden brugerens viden og derefter uploader filer til tvivlsomme servere. Virussen gemmer sig under applikationen macs.app. Indtil videre er det dog ikke særlig udbredt.
En ny type trussel mod Apple-computerbrugere blev fundet på Mac-en til en af deltagerne i Oslo Freedom Forum, en international konference om menneskerettigheder, der arrangeres årligt i Oslo af Human Rights Foundation.
Når du har installeret macs.app, kører appen i baggrunden og tager skærmbilleder lydløst. Hvert optaget billede gemmes i en mappe Mac app i din hjemmemappe, hvorfra filerne uploades securitytable.org a docsforum.inf. Ingen af domænerne er tilgængelige.
[do action="tip"]Tjek din hjemmemappe for en mappe Mac app (se billede).[/do]
Macs.app kan fungere på din Mac, fordi den, i modsætning til anden malware, har tildelt et fungerende Apple-udvikler-id, hvilket betyder, at den overgår Gatekeeper-beskyttelsen. Identifikationsnummeret tilhører en vis Rajender Kumar, og Apple har mulighed for at fastfryse hans rettigheder, hvilket formentlig også ville gøre virussen umulig at fungere. Så vi kan forvente en tidlig indgriben fra det californiske firma.
Det er godt at vide. Men hvorfor i alverden skulle jeg installere det (er det en .app eller en installationspakke)?
F-secure undersøger i øjeblikket malwaren for bedre at bestemme dens oprindelse, installationsmåder og hvordan den kører.
Jeg har ikke fundet ud af, i hvilken form det præcist er downloadet, men når du har det på din computer, starter det automatisk, når du starter din computer. Jeg kan dog ikke se om det skal installeres.
Logisk set skal brugeren køre det, det eneste spørgsmål er, om det er "bundtet" med en eller anden applikation, uanset om det er lovligt eller cracket, eller om der kommer en e-mail som "Nøgenbilleder af , kør mig nu", og brugeren starter den.
Da det ser primitivt ud (det kan meget nemt skrives i AppleScript) og da det skriver til brugerens mappe, burde det ikke engang have brug for et admin password, men jeg vurderer bare ud fra billedet og informationen i artiklen, det kan være anderledes :)
Hvis det starter efter opstart, så vil jeg sige, at det skal afslutte installationen (selv dæmonen eller selve applikationen). Uanset hvad, som DJManas skriver, skriver den det til brugerens mappe præcist, så der ikke er behov for en adgangskode. Jeg forstår ikke, hvorfor den skriver det i "MacApp" og ikke ".MacApp" - på den måde ville ingen, der ikke har skjulte filer synlige (altså 90% af folk) bemærke det.
Hvad jeg ser som et større problem er, at nogen brugte deres eget udvikler-id til at komme forbi GateKeeper – her skal Apple reagere meget hurtigt og forbyde disse personer for altid. Måske kunne jeg se det på en eller anden "rapporter som spam/virus"-funktion, gemt et dybt sted, så Apple straks skulle begynde at håndtere det, hver gang det modtager mere end 1 sådan notifikation om applikationen.
Jeg indrømmer, at jeg ikke har mit officielle udvikler-id, men jeg tror, at det er nok at oprette en e-mail, betale for et medlemskab, endda for 900,- om året, og brugeren er "live" og kan spille ( hvis han ikke lægger det direkte i AppStore), hvilket kan bringe tilfredsstillelse, men jeg ved ikke præcist, hvordan det fungerer, nogen venligst ret mig.
På den anden side kan brugere have GateKeeper deaktiveret, fordi de installerer ting fra nettet, og jeg indrømmer, at jeg også har slået det fra, fordi det ikke ville lade mig installere en app, jeg normalt bruger, jeg tror det var OnyX dengang (nyinstalleret 10.8), og det opdagede ikke. Jeg spekulerer på, om de allerede er officielle udviklere, og jeg kan slå det til...
Jeg deaktiverede det også for min kone, da jeg udviklede et par "apps/scripts/widgets", som kun hun og jeg bruger, og hun ville ikke lade mig installere det på hendes OSX...
Jeg anbefaler at slå Gatekeeper til, og hvis du vil installere et program, der ikke er signeret, skal du blot højreklikke på pakken/appen og klikke på Åbn. Der er så mulighed for at omgå gatekeeperen i denne sag. Jeg gør det selv, og det virker mere sikkert for mig – jeg kan også installere usignerede applikationer, men Gatekeeper holder øje med alt andet.
Tak, det vidste jeg ikke