« Interne Microsoft E-Mails: Bill Gates verzweifelt am Download von Windows Movie Maker | Start | iPhone 3G ohne Vertrag in Großbritannien ab 380 Euro? »

25.06.2008

Das alljährliche OS X-Trojaner-Drama

Es ist ein alljährlich wiederkehrendes Spektakel und es verläuft stets nach demselben Muster: Kaum wird auf verschlungenen Wegen ein Trojaner für Mac OS X ausfindig gemacht, verkünden Hersteller von "Sicherheits"software den Katastrophenfall, vor dem natürlich ausschließlich der Kauf des hauseigenen Softwareprodukts retten kann. Anküpfende Presseberichte werfen einiges durcheinander, rufen die allererste Mac-Vireninvasion aus und prognostizieren eine bervorstehende Malware-Flut für OS X. Apple-Apologeten erklären zeitgleich die dahintersteckenden Schwachstellen schulterzuckend für Firlefanz während sich "Hackerkreise" über die angeblich überheblichen Mac-Nutzer mokieren und ihnen alle Trojaner der Welt an den Hals wünschen.
Tage/Wochen später schiebt Apple dann ein entsprechendes Sicherheitsupdate nach während sich langsam abzeichnet, dass der jeweilige Trojaner kaum (oder überhaupt nicht) in freier Wildbahn anzutreffen war und die ganze Geschichte gerät schließlich in Vergessenheit.
So war es 2004, 2005, 2006, 2007 und 2008 dürfte es sich ähnlich verhalten.

Doch das Bedrohungspotential verändert sich tatsächlich mit dem ungebrochen explosiven Wachstum der Mac-Verkäufe. So war zum Beispiel der Schädling aus vergangenem Herbst erstmals klar finanziell motiviert und wurde von professionellen Malware-Entwicklern ausgeheckt, die sich zuvor ausschließlich auf Windows konzentriert hatten.

Die zwei aktuellen Trojaner entstammen dahingegen zwar vermutlich eher dem Wunsch, Schwachstellen und Lücken in Mac OS X auszuloten, doch in diesem Rahmen entstand im MacShadows-Forum eine über 50 Seiten ausdiskutierte und verfeinerte Trojaner-Vorlage für Mac OS X. Diese lässt sich von Scriptkiddies problemlos den eigenen Vorstellungen entsprechend zurechtbiegen und so könnte sie jederzeit als beliebig getarnte Applikation wieder auftauchen.

passwort_trojaner.png
Screenshot: F-Secure
Einer dieser zwei Trojaner (PokerGame.app) bedient sich eines klassischen Tricks, um das Passwort des Benutzers zu erschleichen (siehe Screenshots), während der andere die haarsträubende ARDAgent-Schwachstelle ausnutzt, um sich weitestgehend beliebig im System austoben zu können.
[Am schönsten lässt sich das ARDAgent-Problem beheben, indem man sich dazu der Lücke selbst bedient. Dafür muss nur folgender Text ins Terminal kopiert und ausgeführt werden:
osascript -e 'tell app "ARDAgent" to do shell script "chmod 0555 /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent"'
Werden anschließend die Rechte repariert, ist dies allerdings wieder hinfällig, sicherer ist also die vorübergehende Entfernung von ARDAgent.app - falls die Funktionalität nicht gebraucht werden sollte.]

Unterm Strich ist derzeit deshalb erhöhte Achtsamkeit auf die Herkunft von Applikationen angebracht (insbesondere solchen, die nach einem Passwort verlangen) und die bessere Strategie als der Kauf von Sicherheitssoftware.
Die größte Sicherheitslücke bleibt sowieso der Nutzer selbst und gerade Mac-Besitzer sollten sich durchaus auf ausgeklügelteres Social Engineering einstellen, denn weitere Schadsoftware folgt garantiert - spätestens eben turnusgemäß 2009.

Weitere Lektüre zum Thema: Security Fix, Dino Dai Zovi und TidBITS.

Posted by Leo at 19:22 | Permalink

TrackBack

TrackBack-Adresse für diesen Eintrag:
https://www.typepad.com/services/trackback/6a00d83451c7b569e200e55370886e8833

Listed below are links to weblogs that reference Das alljährliche OS X-Trojaner-Drama: