2018/01/11 17:45:58

Безопасность macOS

Какие угрозы сопровождают работу на компьютерах с macOS (до 2016 г. OS X).

Содержание

Основная статья: Mac OS

2018: Уязвимость, позволяющая менять настройки без пароля

В январе 2017 года в операционной системе macOS нашли уязвимость, позволяющую изменять настройки без пароля. Любой желающий, который получил доступ к компьютеру, может попасть в меню настроек App Store. Причем знать чужие логин и пароль для этого не нужно.

Баг обнаружили исследователи Open Radar. Они поделились с тем, как можно осуществить «взлом» в версии macOS High Sierra 10.13.2: зайти в системные настройки, выбрать раздел App Store, нажать на пиктограмму замка для разблокировки, ввести свое имя пользователя и любой пароль, нажать на кнопку разблокировки.

Настройки App Store

Такая последовательность позволяет получить доступ к настройкам App Store, в том числе внести изменения в систему обновлений macOS и приложений, а также снизить безопасность операционной системы. При должных навыках злоумышленники могут получить контроль над ПК.

По словам специалистов Open Radar, уязвимость отсутствует в версиях macOS Sierra 10.12.6 и ниже. К 11 января 2018 года наиболее свежей модификацией ОС является macOS 10.13.2.

Сообщение об уязвимости, которая позволяет менять настройки без пароля, появилось на сайте Open Radar 8 января 2018 года. В тот же день Apple выпустила обновление macOS 10.13.2 (17C205) для защиты от возможного похищения данных через уязвимость в процессорах Intel. Но проблему с паролем в этом обновлении не устранили.

Скорее всего, найденный недостаток компьютерной платформы будет устранен в релизе 10.13.3, однако в Apple воздерживаются от комментариев.

До выхода апдейта пользователям рекомендуется использовать аккаунты без прав администратора, в которых этой проблемы нет.

В ноябре 2017 года стало известно о более серьезной уязвимости в macOS. Речь идет о связанном с вводом паролей баге, при помощи которого можно было получать доступ к системе с правами администратора. Apple исправила эту ошибку.[1]

2017: Вирус FruitFly

В январе 2017 года антивирусная компания Malwarebytes обнаружила[2] вирус для компьютеров Mac, что большая редкость — продукция Apple считается гораздо более защищенной, чем Windows или Android. Вирус нашли на четырех компьютерах в биомедицинских исследовательских центрах. Исследователи отмечали, что в коде вируса (его назвали FruitFly — «плодовая мушка») содержатся отсылки к старым версиям операционной системы OS X и библиотекам, не обновлявшимся с конца 90-х. Можно предположить, что вредоносная программа существовала как минимум с 2014 года — и ее никто не замечал[3].

В отчете Malwarebytes говорилось, что одноименный антивирус теперь умеет находить вирус, а Apple выпустила обновление для защиты от его дальнейшего распространения. Но через несколько месяцев бывший хакер Агентства национальной безопасности США Патрик Уордл наткнулся на еще один экземпляр такого вируса. FruitFly 2, по его словам, не определялся ни одним антивирусом, мог быть создан еще раньше — порядка пяти или даже десяти лет назад — и успел заразить как минимум несколько сотен компьютеров, в том числе принадлежащих частным лицам.

Судя по всему, главное предназначение вируса — шпионить за действиями пользователей. Он может «подглядывать» через вебкамеру, делать скриншоты экрана, регистрировать нажатия на кнопки клавиатуры. Программа также умеет перехватывать управление курсором мыши и клавиатурой и предупреждать хакеров, когда владелец компьютера возвращается к работе.

В вирусе была заложена возможность отправлять данные своим создателям. При этом в коде было прописано несколько альтернативных доменных имен на случай, если адрес основного сервера окажется недоступен. Уордл обнаружил, что запасные домены были свободны, зарегистрировал их и запустил вирус на виртуальной машине.

После этого произошло то, чего исследователь не ожидал: к зарегистрированным им доменам подключились около 400 компьютеров, зараженных вирусом. Уордл мог собрать информацию с этих компьютеров или перехватить их управление, но вместо этого он обратился в ФБР. Ведомство ведет расследование, но никаких деталей не раскрывает. Apple также не комментирует информацию о вирусе.

Исследователи не смогли найти следов создателей FruitFly и не понимают, кому он мог быть выгоден. Он недостаточно сложный, чтобы заподозрить подконтрольных властям хакеров; он не пытается красть пароли и данные кредитных карт пользователей, чтобы быть интересным для преступников. Как вирус оказывается на компьютерах жертв, тоже неизвестно.

2015: Вирус-буткит Thunderstrike

В начале 2015 года появился новый вирус-буткит Thunderstrike. Он вживлялся в систему BIOS и захватывал под свой контроль весь компьютер. Даже если пользователь удалял ОС, вирус при этом оставался нетронутым. Лечения от вируса нет до сих пор. Поэтому, лучше защитить свой компьютер заранее.

Далее разработчики выпустили модифицированную версию вируса Thunderstrike 2. Этот вирус распространялся любым способом, в том числе через почту интернет или Bluetooth. Лечению компьютер не подлежит. Единственный способ избавления от вируса перепрограммирование чипа.

2014: OS X Yosemite следит за пользователями

22 октября 2014 года стало известно о передаче новой операционной системой Apple OS X 10.10 Yosemite в Apple поисковых запросов, которые пользователь вводит в функции Spotlight, вместе с информацией о его текущем местоположении.

Право Apple на эти действия прописано в лицензионном соглашении на Yosemite, которое пользователь принимает при установке ОС.

Spotlight — встроенная в OS X функция поиска, впервые появившаяся в OS X Tiger в 2005 году. До Yosemite она позволяла выполнять локальный поиск: файлов, закладок, посещенных сайтов из истории веб-серфинга. В новой версии число источников данных существенно расширено. Теперь функция дополнительно отображает контент из App Store и iTunes Store, заголовки новостей из интернета, близлежащие организации и заведения на карте.

Все запросы, вводимые пользователем в Spotlight, отправляются в Apple. Компания получает и сведения о выбранных пользователем подсказках, которые функция предлагает по мере ввода запроса. Помимо этого, общеупотребимые слова и словосочетания, полученные Apple от пользователя, направляются в поисковую систему Microsoft Bing.

В Apple уверяют, что результаты поиска на локальном диске Mac, выдаваемые функцией Spotlight, в Apple не отправляются, а также что Microsoft не хранит данные, получаемые от Apple. Компании утверждает о шифровании всех запросов, а уникальный идентификатор, к которому они крепятся, обновляется каждые 15 минут.

Возможность отключить отправку данных имеется - необходимо перейти в настройки Spotlight в «Системных настройках» OS X и снять отметки с пунктов «Предложения Spotlight» и «Поиск в интернете с помощью Bing». Если пользователь не желает отправки данных о его местоположении, необходимо из панели «Конфиденциальность» в «Системных настройках» и в разделе «Службы геолокации» снять отметку с пункта «Предложения Spotlight».

Тем не менее Apple продолжит определять приблизительное местоположение с помощью IP-адреса.

Поисковыми запросами и подсказками с Apple делится браузер Safari, игнорируя параметры «Системных настроек». Для отключения отправки в настройках браузера, на вкладке «Поиск» требуется убрать отметку с пункта «Предложения Spotlight».

Авторство находки принадлежит Лэндону Фулеру (Landon Fuller), разработчику и генеральному директору нью-йоркской компании Plausible Labs.

2012: Вирус BackDoor Flashback заразил более 650 тысяч Mac

В 2012 году появился вирус, который заразил более 650 тысяч Mac. Это самая крупная атака на «яблочную» продукцию. Вирус BackDoor Flashback проникал через уязвимость в Java, через которую хакеры создавали ботнеты.

2011: Вирус BlackHole RAT

В 2011 году появился вирус BlackHole RAT, позволявший удалённо управлять компьютером Mac. Пользователи начали задумываться, как защититься от данного вредоноса и хакеры начали им подсказывать, предлагая скачать программу Mac Defender, которая на самом деле похищала крединые данные пользователя.

2007: Вирус BadBunny и RSPlug-A

В 2007 году на дисплее Mac, Linux и Windows начала появляться пошлая фотография мужчины, переодетого в костюм кролика и девушки. Фотографию не прилагаем, можете найти её сами через любой поисковик. Этот вирус получил название BadBunny.

В этом же году появился первый вирус мошенник RSPlug-A. Принцип его работы был таков — пользователь скачивал плагин, якобы для просмотра видео, на сайте «для взрослых». В дальнейшем вредоносный код менял настройки DNS и перенаправлял его на фишинговые сайты.

2006: Вирус Leap-A

В 2006 году через I-Chat на компьютеры Mac начал проникать вирус Leap-A. Он попадал в систему и получал информацию о контактах и системных файлах.

2004: Вирус Renepo

В 2004 году появился вирус Renepo, который заражал Mac OS X. Это первый вирус, который распространялся по сети. Он отключал систему защиты компьютера, устанавливал на компьютер утилиты для взлома и похищения паролей, а также менял файлы.

1995-1996: Вирусы Concept, Laroux, AutoStart 9805 и Sevendust 666

В 1996 году в Гонконге был обнаружен вирус AutoStart 9805. Это был первый полноценный червь, который распространялся через CD-ROM. Он изменял названия файлов и всячески проявлял свою активность. Также он копировал себя во все разделы жёсткого диска.

В 1995-1996 годах появились два вируса с названиями Concept и Laroux. Не смотря на то, что они не приносили особого вреда, по аналогии с ними были созданы тысячи вирусов, которые заражали файлы MS Office.

Также в 1996 году появился один из первых вирусов, который сильно потрепал нервы пользователей Mac Sevendust 666. Вирус полностью уничтожал все файлы на жестком диске, оставляя в папке Extensions файл под названием «666».

1988: Вирус HyperAvenger

В 1988 году впервые дал о себе знать вирус, получивший название HyperAvenger. Этот червь выводил на экраны пользователей информацию про кандидата в президенты США Майкла Дукаскиса. Второе появление вируса было замечено в Бельгии и Голландии в 1991 году. Тогда на компьютерах, где по умолчанию был установлен немецкий язык, выходило сообщение `Hey,what are you doing? Don’t panic`, а из колонок раздавался немецкая народная музыка.

1982: Вирус ElkCloner и nVIR

В 1982 году появился вирус, который называется ElkCloner. Создал его 15-летний школьник, а потом распространил на компьютеры Apple II. При каждой 50-й загрузке систем на экран выводилось небольшое стихотворение. Не смотря на то, что червь не приносил особого вреда, его можно назвать самым первым вирусом, который заразил Mac.

Самым первым вредоносным вирусом для Mac стал вирус nVIR. Распространялся он от компьютера к компьютеру при помощи дискет. Данный вирус не позволял пользователю открывать приложения и создавал сбои в системе. При этом из динамиков компьютера раздавался писк. А на мониторе вылезало диалоговое окно с надписью `Don’t panic!`.

См. также