Ondrej Holzman Mac-tietokoneita vastaan hyökkäävät uudet haittaohjelmat, jotka ottavat kuvakaappauksia käyttäjän tietämättä ja lataavat sitten tiedostoja epäilyttävälle palvelimille. Virus piiloutuu sovelluksen alle macs.app. Toistaiseksi se ei kuitenkaan ole kovin yleistä.
Ihmisoikeussäätiön Oslossa vuosittain järjestämän kansainvälisen ihmisoikeuskonferenssin Oslo Freedom Forumin osallistujan Macista löydettiin uudenlainen uhka Applen tietokoneen käyttäjille.
Kun asennat macs.app-sovelluksen, sovellus toimii taustalla ja ottaa kuvakaappauksia äänettömästi. Jokainen otettu kuva tallennetaan kansioon Mac-sovellus kotihakemistossasi, josta tiedostot ladataan securitytable.org a docsforum.inf. Kumpikaan verkkotunnus ei ole käytettävissä.
[do action=”tip”]Tarkista, onko kotihakemistossasi kansio Mac-sovellus (katso kuva).[/do]
Macs.app voi toimia Macissasi, koska toisin kuin muilla haittaohjelmilla, sille on määritetty toimiva Apple Developer ID, mikä tarkoittaa, että se ylittää Gatekeeperin suojauksen. Tunnusnumero kuuluu tietylle Rajender Kumarille, ja Applella on mahdollisuus jäädyttää hänen oikeutensa, mikä todennäköisesti tekisi viruksen toiminnan mahdottomaksi. Joten voimme odottaa varhaista puuttumista kalifornialaiselta yritykseltä.
On hyvä tietää. Mutta miksi ihmeessä asentaisin sen (onko se .app vai asennuspaketti)?
F-secure tutkii parhaillaan haittaohjelmaa selvittääkseen paremmin sen alkuperän, asennustavat ja toimintatavan.
En ole saanut selville, missä muodossa se tarkalleen on ladattu, mutta kun se on tietokoneellasi, se käynnistyy automaattisesti, kun käynnistät tietokoneen. En kuitenkaan näe, tarvitseeko se asentaa.
Loogisesti käyttäjän on suoritettava se, kysymys on vain siitä, onko se "pakattu" jollain sovelluksella, joko laillisella tai krakattulla, vai tuleeko sähköposti kuten "Alaston kuvia, aja minua nyt" ja käyttäjä käynnistää sen.
Koska se näyttää primitiiviseltä (se voidaan kirjoittaa AppleScriptillä erittäin helposti) ja koska se kirjoittaa käyttäjän kansioon, sen ei pitäisi tarvita edes järjestelmänvalvojan salasanaa, mutta päättelen vain kuvan ja artikkelin tietojen perusteella. voi olla erilainen :)
Jos se käynnistyy käynnistyksen jälkeen, sanoisin, että sen on lopetettava asennus (jopa demoni tai itse sovellus). Joka tapauksessa, kuten DJManas kirjoittaa, se kirjoittaa sen käyttäjän kansioon tarkasti, jotta salasanaa ei tarvita. En ymmärrä, miksi se kirjoittaa sen "MacAppiin" eikä ".MacAppiin" - näin kukaan, jolla ei ole piilotettuja tiedostoja näkyvissä (eli 90% ihmisistä), ei huomaa sitä.
Suurempana ongelmana näen, että joku käytti omaa kehittäjätunnustaan päästäkseen GateKeeperin ohi – tässä Applen on reagoitava hyvin nopeasti ja kiellettävä nämä henkilöt ikuisesti. Ehkä voisin nähdä sen jossain "raportoi roskapostiksi/virukseksi" -toiminnossa, piilotettuna jonnekin syvälle, jotta Applen pitäisi alkaa käsitellä sitä välittömästi, kun se saa useamman kuin yhden tällaisen ilmoituksen sovelluksesta.
Myönnän, että minulla ei ole virallista kehittäjätunnustani, mutta mielestäni riittää, että laitat sähköpostin, maksat jäsenyyden, jopa 900,- vuodessa, ja käyttäjä on "live" ja voi pelata ( jos hän ei laita sitä suoraan AppStoreen), mikä voi tuoda tyydytystä, mutta en tiedä tarkalleen kuinka se toimii, joku oikaise minua.
Toisaalta käyttäjillä on saattanut olla GateKeeper pois päältä, koska he asentavat asioita verkosta, ja myönnän, että otin sen pois päältä, koska se ei antanut minun asentaa normaalisti käyttämääni sovellusta, luulisin, että se oli OnyX. tuolloin (äskettäin asennettu 10.8) ja se ei havainnut, ovatko he jo virallisia kehittäjiä ja voinko ottaa sen käyttöön...
Poistin sen myös vaimolleni, kun kehitin pari "sovellusta/skriptiä/widgetiä", joita vain hän ja minä käytämme, eikä hän antanut minun asentaa sitä OSX:ään...
Suosittelen Gatekeeperin kytkemistä päälle ja jos haluat asentaa sovelluksen, jota ei ole allekirjoitettu, napsauta pakettia/sovellusta hiiren kakkospainikkeella ja napsauta Avaa. Tällöin on mahdollisuus ohittaa portinvartija tässä tapauksessa. Teen sen itse ja se tuntuu turvallisemmalta - voin asentaa myös allekirjoittamattomia sovelluksia, mutta Gatekeeper pitää silmällä kaikkea muuta.
Kiitos, en tiennyt tätä