Ondrej Holzman Mac-datamaskiner blir angrepet av ny skadelig programvare som tar skjermbilder uten brukerens viten og deretter laster opp filer til tvilsomme servere. Viruset gjemmer seg under applikasjonen macs.app. Foreløpig er det imidlertid ikke særlig utbredt.
En ny type trussel mot Apple-databrukere ble funnet på Mac-en til en av deltakerne i Oslo Freedom Forum, en internasjonal konferanse om menneskerettigheter som arrangeres årlig i Oslo av Human Rights Foundation.
Når du har installert macs.app, kjører appen i bakgrunnen og tar skjermbilder stille. Hvert bilde som tas er lagret i en mappe Mac-appen i hjemmekatalogen der filene lastes opp securitytable.org a docsforum.inf. Ingen av domenene er tilgjengelige.
[do action="tip"]Sjekk hjemmekatalogen din for en mappe Mac-appen (se bilde).[/do]
Macs.app kan fungere på Mac-en fordi den, i motsetning til annen skadelig programvare, har en fungerende Apple-utvikler-ID tildelt, noe som betyr at den går forbi Gatekeeper-beskyttelsen. Identifikasjonsnummeret tilhører en viss Rajender Kumar, og Apple har muligheten til å fryse rettighetene hans, noe som trolig også vil gjøre viruset umulig å fungere. Så vi kan forvente en tidlig intervensjon fra det kaliforniske selskapet.
Det er godt å vite. Men hvorfor i all verden skulle jeg installere det (er det en .app eller en installasjonspakke)?
F-secure undersøker for tiden skadelig programvare for å bedre finne opprinnelsen, installasjonsmåtene og hvordan den kjører.
Jeg har ikke funnet ut i hvilken form den er lastet ned nøyaktig, men når du har den på datamaskinen din starter den automatisk når du starter datamaskinen. Men jeg ser ikke om det må installeres.
Logisk sett må brukeren kjøre det, det eneste spørsmålet er om det er "bundet" med en eller annen applikasjon, enten det er lovlig eller cracket, eller om en e-post som "Nakenbilder av , kjør meg nå" kommer og brukeren starter den.
Siden det ser primitivt ut (det kan skrives i AppleScript veldig enkelt) og siden det skriver til brukerens mappe, burde det ikke engang trenge et admin-passord, men jeg bedømmer bare ut fra bildet og informasjonen i artikkelen, det kan være annerledes :)
Hvis den starter etter oppstart, vil jeg si at den må fullføre installasjonen (til og med daemonen eller selve applikasjonen). Uansett, som DJManas skriver, skriver den det til brukerens mappe nettopp slik at det ikke er behov for et passord. Jeg forstår ikke hvorfor den skriver det i "MacApp" og ikke ".MacApp" - på den måten vil ingen som ikke har skjulte filer synlige (så 90% av folk) legge merke til det.
Det jeg ser på som et større problem er at noen brukte sin egen utvikler-ID for å komme forbi GateKeeper – her må Apple reagere veldig raskt og utestenge disse personene for alltid. Kanskje jeg kunne se det på en "rapporter som spam/virus"-funksjon, skjult et sted dypt, slik at Apple umiddelbart bør begynne å håndtere det hver gang det mottar mer enn 1 slik melding om applikasjonen.
Jeg innrømmer at jeg ikke har min offisielle utvikler-ID, men jeg tror at det er nok å sette opp en e-post, betale for et medlemskap, til og med for 900,- i året, og brukeren er "live" og kan spille ( hvis han ikke legger det direkte i AppStore), noe som kan gi tilfredsstillelse, men jeg vet ikke nøyaktig hvordan det fungerer, noen vennligst korriger meg.
På den annen side kan brukere ha GateKeeper slått av fordi de installerer ting fra nettet, og jeg skal innrømme at jeg også har slått det av, fordi det ikke ville la meg installere en app jeg vanligvis bruker, jeg antar at det var OnyX den gang (nyinstallert 10.8) og den oppdaget ikke. Jeg lurer på om de allerede er offisielle utviklere og jeg kan slå den på...
Jeg deaktiverte det også for min kone da jeg utviklet et par "apper/skripter/widgets" som bare hun og jeg bruker, og hun ville ikke la meg installere det på OSXen hennes...
Jeg anbefaler å slå på Gatekeeper og hvis du vil installere en applikasjon som ikke er signert, er det bare å høyreklikke på pakken/appen og klikke Åpne. Det er da en mulighet for å omgå portvakten for denne saken. Jeg gjør det selv og det virker tryggere for meg - jeg kan også installere usignerte applikasjoner, men Gatekeeper holder øye med alt annet.
Takk, dette visste jeg ikke