Flo's Weblog

Gestern gab Apple bekannt, Opfer eines Hacker-Angriffs geworden zu sein, bei dem eine geringe Anzahl an Mitarbeiter-Macs betroffen gewesen sein soll. Einen ähnlichen Angriff hatte es in den vergangenen Tagen auch auf Facebook und Twitter gegeben. In letzterem Fall fielen dadurch über 250.000 Account-Daten in die Hände der Angreifer. Während nach Apples Informationen durch den Angriff auf die eigenen Mitarbeiter keine Daten Cupertino in Richtung China verlassen hätten, veröffentlichte man gestern Abend ein Java-Update, welches auch die Macs von normalen Usern vor der Sicherheitslücke schützt. Inzwischen ist auch bekannt geworden, wie der Angriff initiiert wurde. Dies gelang offenbar durch das bloße Besuchen einer beliebten Webseite für Entwickler.

HINWEIS: Ich werde die Seite hier zwar nennen, aber nicht verlinken. Vom Besuchen der Seite rate ich deutlichst ab, da der Code nach wie vor infiziert sein könnte. Zudem ist es bislang noch nicht abschließend bewiesen, dass die Seite tatsächlich der Ausgangspunkt des Angriffs war.

Wie die New York Times allerdings aus Ermittlerkreisen erfahren haben will, soll es sich dabei um die Seite iPhoneDevSDK gehandelt haben, ein beliebtes Forum für Entwickler, auf dem auch ich recht regelmäßig unterwegs bin. Mein Mac wurde dabei allerdings nicht infiziert. Die Angreifer nutzten offenbar eine unter dem Oberbegriff "Watering Hole" firmierende Methode, bei der der Schadcode in den HTML-Quelltext der Seite geschleust wird, von wo aus er beim Aufrufen der Seite sein Unwesen treiben kann.

In jedem Fall sei jedem Mac-User zur Installation des gestern veröffentlichten Java-Updates geraten. Dieses schließt nicht nur die ausgenutzte Lücke, sondern meldet sich auch, sollte der eigene Mac infiziert worden sein.

Mit der Einführung von OS X Mountain Lion im kommenden Monat wird Apple auch eine Reihe neuer Sicherheitsfunktionen in sein Desktop-Betriebssystem aufnehmen. Prominentestes Beispiel hierfür ist die neue Funktion "Gatekeeper", mit der man künftig festlegen kann, ob man lediglich Software aus dem Mac AppStore, von durch Apple zertifizierten Entwicklern oder sämtliche Anwendungen installieren möchte. Gatekeeper übernimmt dann diese Überwachung. Das Neuerungen notwendig sind, zeigte nicht zuletzt die schnelle Verbreitung des Flashback-Trojaners, inkl. der langsamen Reaktion seitens Apple hierauf. Offenbar kommen jedoch noch weitere neue Sicherheitsfunktionen in Mountain Lion zum Einsatz. So veröffentlichte Apple in der vergangenen Nacht ein Update für die vierte Developer Preview des kommenden Updates mit dem Namen "OS X Security Update Test 1.0". Das Update beinhaltet unter anderem eine tägliche Suche nach Sicherheitsupdates und die Möglichkeit, diese automatisch installieren zu lassen. In den zugehörigen Releasenotes schreibt Apple:

This update tests the new Mountain Lion Security Updates system. The new system includes:

- Daily Checks for required security updates
- The ability to install required security updates automatically or after restarting your Mac
- A more secure connection to Apple's update servers.

This update includes general updates and improvements to Mountain Lion Developer Preview 4.

Darüber hinaus hat Apple in einem weiteren kleinen Schritt sein Wording hinsichtlich der Sicherheit des Macs auf seinen "Warum du einen Mac lieben wirst"-Webseiten überarbeitet. War hier zuvor die Rede davon, dass Macs immun gegen PC-Viren seien, spricht man nun davon, dass Macs "einfach sicher" seien. Sicherlich keine bahnbrechende Entdeckung, aber immerhin ein kleiner Hinweis darauf, dass Apple sich der Thematik bewusst ist und (hoffentlich) daran arbeitet, die Sicherheit auf dem Mac auch weiterhin zu erhalten. (via MacRumors)

Wenn man ehrlich ist, ist es nicht weiter verwunderlich, dass die Meldungen über Viren, Trojaner und sonstige Schädlinge auf dem Mac derzeit ansteigen. Grund ist schlicht und ergreifend, dass Apple aufgrund seiner wachsenden Beliebtheit immer mehr in den Fokus von Hackern, Crackern und sonstigem Gesindel gerät. Nachdem Apple dem Flashback-Trojaner jüngst mit einer ganzen Serie von Updates entgegen getreten ist, berichtet Intego in seinem Sicherheits-Blog nun von einer weitere Schadsoftware, welche sich derselben (inzwischen von Apple geschlossenen) Java-Lücke unter OS X bedient. Anders als Flashback nistet sich der auf den Namen "SabPab" hörende Trojaner jedoch nicht in Safari ein, sondern im Benutzerverzeichnis unter ~/Library/LaunchAgents, wodurch er mangels Kennwortabfrage nicht so schnell auffällt. Unter Umständen befindet sich ein weiterer Teil des Schädlings auch noch unter /Library/Preferences/com.apple.PubSabAgent.pfile. Hat man sich den Schädling einmal eingefangen, können die Angreifer weitere Schadsoftware nachladen und auch beliebige Nutzerdaten abrufen. Hat man jedoch die von Apple veröffentlichten Java-Updates installiert, ist man vor SabPab sicher.

Je mehr die Anzahl der Mac-Schädlinge steigt, desto klarer wird Apples bestreben, Mac-Software über den Mac AppStore zu vertreiben, um hierüber eine gewisse Kontrolle über die zu installierende Software zu haben und Schädlinge schon im Vorfeld aussortieren, oder anschließend zurück verfolgen zu können. Auch das Thema Sandboxing wird dabei eine wichtige Rolle spielen. Zudem führt Apple mit OS X Mountain Lion eine neue Funktion namens "Gatekeeper" ein, welche den Benutzer vor dem Installieren von Schadsoftware bewahren soll.