OS X-bug laat malware ongezien toe

Door: Raymon Mens - 9 reacties

Een nieuw ontdekte kwetsbaarheid in OS X 10.10 Yosemite en eerder maakt het voor kwaadwillenden mogelijk om malware te installeren zonder naar je wachtwoord te vragen. Apps kunnen door de bug ongezien administrator-rechten krijgen.

Volgens security-onderzoeker Malwarebytes wordt de bug actief misbruikt door adware zoals Genieo, VSearch en ook de controversiële MacKeeper maakt gebruik van dit achterdeurtje om zichzelf te installeren.

Wat gaat er fout? Door een bug in OS X kunnen apps het bestand met daarin alle sudo users aanpassen. In dit bestand staan gebruikers en applicaties die tijdelijk het recht hebben om systeembestanden te wijzigen. Normaal geef je daar zelf toestemming voor door bijvoorbeeld bij het herinstalleren van een app buiten de App Store je wachtwoord in te voeren. De bug laat echte alle apps dit bestand wijzigingen.

Oppassen met apps uit onbekende bron

De malware wordt alleen actief als de gebruiker een app uitvoert die de bug misbruikt. Let goed op met het openen van apps uit onbekende bron. Een app uit de app store of van de site van een ontwikkelaar kan geen kwaad, maar installeer geen software afkomstig uit donkere hoekjes van het internet.

Apple is op de hoogte van de bug, heeft deze nog niet gepatcht. OS X 10.10 Yosemite en eerder zijn kwetsbaar, terwijl de in OS X 10.11 ingebouwde ‘rootless’ beveiliging de malware stopt. Beveiligingsonderzoeker Stefan Esser heeft een hulpprogramma gemaakt dat extra beveiliging biedt, maar ons advies is om gewoon goed op te letten bij het installeren van apps.

DYLD_PRINT_TO_FILE-exploit
Deel van de code die de bug kan misbruiken.

Reacties

9 reacties
  • Profielfoto
    McJohn

    Behoudens dit hier al eens aan bod is gekomen, dit nog even om in de sfeer te blijven:

    http://forums.macrumors.com/threads/first-firmware-worm-able-to-infect-macs-created-by-researchers.1905234/

    Exploits gaan verder en verder heb ik zo de indruk.
    Anticonceptie voor Thunderbold lijkt me noodzakelijk.;-)

  • Profielfoto
    Mac in tosh

    Blijkbaar is rechtstreeks van de ontwikkelaar downloaden ook niet altijd veilig.
    http://www.thesafemac.com/is-downloading-from-the-developers-site-safe/#more-1988

  • Profielfoto
    IGBA

    En gelijk maar even een voice of reason:

    ‘This is definitely a problem, but fortunately, it’s a smaller problem than it sounds like. First, because exploiting it requires an attacker to have some kind of access to your computer to begin with, either through some kind of physical or remote access, or through finding a way to get malware installed on your computer.’

    Dus maar even geen illegale versie van (bijv.) Pro Tools downloaden.;-)

  • Profielfoto
    Jamie Yang

    Daar heb je adwaremedic voor een goed programma

  • Profielfoto
    ln.XSOcam

    Maar als ik software uit een onbekende bron installeer dan vraagt het toch al om mijn wachtwoord, dus ik zie het hele probleem niet dat het dan nog iets kan doen zonder mijn wachtwoord terwijl ik zojuist al de benodigde permissie gegeven heb waarmee de app alles kan installeren. M.a.w. Installeer dus niets dat niet te vertrouwen is (!?), maar dat is toch geen nieuws dan?

  • Profielfoto
    Nosferatu

    Apple is op de hoogte van de bug, heeft deze nog niet gepatcht.

    Beide verbazen niet. Toko heeft het te druk met zichzelf, ipv de gebruiker

  • Profielfoto
    mowat

    @Jamie Tsai.
    Adawaremedic van TheSafeMac bestaat momenteel niet meer.
    Het is te zeggen , het is overgenomen door Malwarebytes.

    “Additionally, Malwarebytes announced the acquisition of AdwareMedic by The Safe Mac.”
    Best mogelijk dat men nog steeds een goed betrouwbaar product blijft leveren maar in een groter geheel spelen dikwijls meer commerciele belangen mee.
    Afwachten dus.

  • Profielfoto
    csteelooper

    @mowat In Windows-land is MalwareBytes Ant Malware Ă©Ă©n van de beste tools die er is voor het verwijderen van malware, en er is ook een (heel goed werkende) gratis versie van. Als je de gratis versie installeert krijg je geheel vrijblijvend en reversibel de optie om de betaalde versie te proberen. Deze heeft als voordeel dat je scans kunt inplannen en dat er een turbo scan (bij hen “flash scan” genaamd) is, die op “gebruikelijke locaties naar malware zoekt”). Ik gebruik deze software regelmatig op de Windows-PC’s van kennissen bij wie ik het onderhoud doe.
    Toegegeven, ook MalwareBytes heeft een betaalde versie en er is dus zeker weten een verdienmodel, maar niet iedereen de zo’n verdienmodel heeft is meteen een zwart schaap.

    Vroeger, in de tijd van Windows 95 en 98, was ik bijvoorbeeld erg onder de indruk van de prestaties van Sophos, een erg goede, doch (toentertijd) weinig ingezette virusscanner. Ten tijde van Windows 95 en 98 was het een van de snelste en tegelijkertijd beste virusscanners op het Windows-platform; toen al veel beter dan bijvoorbeeld McAfee of Norton. Zij waren ook een van de eersten die een gratis versie aanboden die wél in staat was om On-Demand Scans uit te voeren. Er waren wel andere gratis scanners, zoals van McAfee, PCTools en ook Microsoft (die laatsten heette PCAV [PCTools AntiVirus] en MSAV [Microsoft AntiVirus] en waren complete clones van elkaar) maar de On-Demand Scanning functionaliteiten waren erg beperkt ten opzichte van die van Sophos. Men moest het vooral hebben van de TSR (Terminate and Stay Resident) modules.
    Bij Sophos was dit duidelijk anders. De toenmalige gratis Windows-versie daarvan was al een behoorlijk goed uitgeruste gereedschapskist voor de bestrijding van virussen — zo goed zelfs, dat de betaalde versie relatief weinig meerwaarde bood.

    Datzelfde is in Windows-land aan de hand met MalwareBytes Anti Malware. Het programma heeft een Ă©rg goede database en scant al erg diep, waardoor het aanschaffen van de betaalde versie in de meeste gevallen weinig meerwaarde heeft. Als men voor een (wellicht te ontwikkelen) Mac-versie dezelfde route gaat bevaren, ben ik op zijn zachtst gezegd positief onder de indruk. Niet dat ik zelf nu direct de noodzaak voel om ook meteen zulke tools te installeren, maar mocht het ooit nodig blijken, dan zal ik MBAM, zoals het programma afgekort heet, ook zeker voor de Mac in overweging nemen.

    EDIT: net even de Mac-versie van MalwareBytes Anti Malware geprobeerd — het is nog werkelijk precies hetzelfde als Adware Medic, behalve dan de naam. Met andere woorden: er is werkelijk helemaal níets veranderd als het om functionaliteit gaat. Voor dit moment is dat goed, maar ik zou bijvoorbeeld graag een heuristische scan zien, die let op de sporen van mogelijke malware, zoals die er nu wel is in Windows-land. MBAM for Mac zit nu op versienummer 1.0.2.8; wellicht is het wachten op versie 2.0 voordat er echte wijzigingen gaan komen in functionaliteit.

  • Profielfoto
    bombilla

    Je verteld dat je in het verleden erg tevreden was met Sophos voor Windows. Ik kan zeggen dat ik recentelijk erg tevreden was met het gratis programma van Sophos Antivirus for Mac omdat ik hiermee een vervelende Genieo, VSearch variant succesvol heb kunnen opsporen en verwijderen.
    https://www.sophos.com/en-us/products/free-tools.aspx

    Na deze ervaring (bij een kennis op de Mac) overweeg ik voor het eerst in al die jaren dat ik met de Mac werk om een antivirus (malware etc.) tool echt te gaan gebruiken. En langs deze weg in ieder geval te adviseren.

    :grin: