2020/02/14 17:42:08

Безопасность macOS

Какие угрозы сопровождают работу на компьютерах с macOS (до 2016 г. OS X).

Содержание

Основная статья: Mac OS

2020: Компьютеры Apple заражают вирусами в 2 раза чаще Windows-систем. Итоги года

В середине февраля 2020 года компания Malwarebytes, развивающая решения для защиты и восстановления программного обеспечения, представила ежегодный отчет по вредоносному софту.

Согласно исследованию, киберугрозы для компьютеров Apple впервые стали расти быстрее по сравнению с Windows-системами. Эксперты обнаружили, что устройства на macOS заражают вирусами в 2 раза чаще Windows-систем. В целом вирусы стали поражать Mac-системы более чем на 400% чаще, чем в 2018 году.

Эксперты обнаружили, что устройства на macOS заражают вирусами в 2 раза чаще Windows-систем

Кроме того, Malwarebytes отметила, что киберпреступники выбирают бизнес-цели с диверсификацией типов угроз и стратегий атак. В 2019 году количество кибератак на различные организации во всем мире выросло на 13% и составило около 9,6 млн атак.

В 2019 хакеры вернулись к троянам-ботнетам Emotet и TrickBot, а также к вирусам-вымогателям, таким как Ryuk, Sodinokibi и Phobos. В 2019 году Emotet стал второй по значимости угрозой для бизнеса, а частота обнаружения TrickBot выросла на 52% в годовом исчислении. Но самый высокий рост среди кибератак отмечался у новых семейств вирусов-вымогателей: Ryuk стали выявлять на 543% чаще, чем в 2018 году, а количество кибератак, связанных с Sodinokibi, увеличилось на 820% с момента его появления в мае 2019 г.

Реклама
Ультралегкие Fujitsu LIFEBOOK для вашего бизнеса

Производительные устройства с высокой степенью защиты данных для комфортной работы как в офисе, так и дома. Ваше рабочее место всегда с вами вместе с мобильными Fujitsu LIFEBOOK

Узнать больше

Кроме того, в 2019 году системы накрыло волной новых хакерских инструментов и блокировщиков ключей. Особой проблемой стало рекламное ПО на устройствах Windows, Mac и Android - хакеры активно применяют агрессивные методы для показа рекламы, взлома браузеров и перенаправления веб-трафика. Распространение рекламного ПО выросло на 13% по сравнению с 2018 годом в потребительском секторе и на 463% в бизнес-секторе.

Также одной из основных угроз в 2019 году стали скиммеры кредитных карт, или Magecart. Malwarebytes прогнозирует, что деятельность Magecart продолжится в 2020 году благодаря росту числа платформ электронной коммерции.[1]

2019

Обнаружение уязвимости в почтовом клиенте Apple Mail, позволяющей читать чужие письма

10 ноября 2019 года стало известно о том, что IT-специалист Боб Гендлер (Bob Gendler) обнаружил недоработку в почтовом клиенте Apple Mail в macOS, которая позволяет видеть электронные письма в файле базы данных в незашифрованном виде.

Как сообщалось, Гендлер выявил уязвимость, когда пытался выяснить, как macOS и Siri предлагают информацию пользователям. В ходе анализа он обнаружил процесс под названием suggestd, запущенный системным процессом LaunchAgent com.apple.suggestd, а также каталог Suggestions в папке «Библиотека», содержащий большое количество файлов, в том числе файлы баз данных. В этих базах хранится информация от приложения «Почта» и других программ, используемая для улучшения механизма предложений macOS и Siri.

«
Я обнаружил, что файл базы данных snippets.db в папке Suggestions содержал мои электронные письма. Более того, моя почта, зашифрованная по стандарту S/MIME, содержится в совершенно незашифрованном виде. Даже если Siri отключена на Мас, сообщения все равно хранятся незашифрованными.

рассказал Гендлер (Bob Gendler), IT-специалист
»

Он также обнаружил базу данных entities.db, содержащую информацию об именах, номерах телефонов и адресах электронной почты всех, с кем контактировал пользователь.

Как отмечается, проблема касается исключительно пользователей, отправляющих письма через Apple Mail с использованием шифрования в приложении и не применяющих шифрование по технологии FileVault непосредственно в macOS. Таким образом, получив доступ к файловому хранилищу и базе данных, злоумышленник может увидеть любые письма в незашифрованном текстовом формате.

Специалист проинформировал Apple о проблеме еще 29 июля 2019 года, однако на ноябрь 2019 года уязвимость все еще остается актуальной. Компания пообещала устранить проблему в будущем обновлении для macOS, однако конкретные сроки выпуска исправления не указала.[2]

Обнаружен бэкдор, позволяющий загружать и исполнять вредоносный код на языке Python

8 мая 2019 года компания «Доктор Веб», что ее специалисты обнаружили угрозу для операционной системы macOS, позволяющую загружать и исполнять на устройстве пользователя любой код на языке Python. Кроме того, сайты, распространяющие это вредоносное ПО, также заражают опасным шпионским троянцем пользователей ОС Windows.

Данная угроза для устройств под управлением macOS была обнаружена специалистами 29 апреля. Это вредоносное ПО получило название Mac.BackDoor.Siggen.20 и представляет собой бэкдор, позволяющий загружать с удаленного сервера вредоносный код и исполнять его.

Mac.BackDoor.Siggen.20 попадает на устройства через сайты, принадлежащие его разработчикам. Один такой ресурс оформлен как сайт-визитка с портфолио несуществующего человека, а второй замаскирован под страницу с приложением WhatsApp.

Mac.BackDoor.Siggen.20
Mac.BackDoor.Siggen.20

При посещении этих ресурсов встроенный код определяет операционную систему пользователя и в зависимости от нее загружает бэкдор или троянца. Если посетитель использует macOS, его устройство заражается Mac.BackDoor.Siggen.20, а на устройства с ОС Windows загружается BackDoor.Wirenet.517 (NetWire). Последнее является давно известным RAT-троянцем, с помощью которого хакеры могут удаленно управлять компьютером жертвы, включая использование камеры и микрофона на устройстве. Кроме того, распространяемый RAT-троянец имеет действительную цифровую подпись.

ЭЦП

По данным Dr.Web, сайт, распространяющий Mac.BackDoor.Siggen.20 под видом приложения WhatsApp, открывали около 300 посетителей с уникальными IP адресами. Вредоносный ресурс работает с 24.03.2019 и пока не использовался хакерами в масштабных кампаниях. Тем не менее специалисты «Доктор Веб» рекомендуют проявлять осторожность и вовремя обновлять антивирус. На май 2019 года все компоненты Mac.BackDoor.Siggen.20 успешно детектируются только продуктами Dr.Web.

2018

Закрыта уязвимость в прошивке персональных компьютеров

Компания Apple 14 июня 2018 года объявила о выпуске обновления для macOS High Sierra 10.13.4, которое устраняет уязвимость в прошивке персональных компьютеров (CVE-2018-4251), обнаруженную экспертами Positive Technologies Максимом Горячим и Марком Ермоловым. Подробная информация об этом представлена на сайте технической поддержки Apple.

«
Уязвимость позволяет злоумышленнику с правами администратора получить несанкционированный доступ к критически важным частям прошивки, записать туда уязвимую версию Intel ME и через ее эксплуатацию тайно закрепиться на устройстве. В дальнейшем он сможет получить полный контроль над компьютером и осуществлять шпионскую деятельность, без малейшей вероятности быть обнаруженным, — рассказал Максим Горячий.
»

Intel ME имеет специальный режим работы — так называемый Manufacturing Mode, который предназначен для использования исключительно производителями материнских плат. Данный режим предоставляет дополнительные возможности, которые может использовать злоумышленник.

Находясь в режиме Manufacturing Mode, Intel ME позволяет выполнять специальную команду, после чего ME-регион становится доступным на запись через встроенный в материнскую плату SPI-контроллер. Имея возможность запускать код на атакуемой системе и отправлять команды в Intel ME, злоумышленник может перезаписывать прошивку Intel ME, в том числе на версию, уязвимую для CVE-2017-5705, CVE-2017-5706 и CVE-2017-5707, и таким образом выполнять произвольный код на Intel ME даже в системах с установленным патчем.

Оказалось, что в MacBook этот режим также включен. Хотя в самой прошивке предусмотрена дополнительная защита от атаки на перезапись регионов SPI Flash (в случае если доступ к какому-либо региону открыт, прошивка не позволяет загрузить ОС), исследователи обнаружили недокументированную команду, которая перезагружает Intel ME без перезагрузки основной системы, что делало возможным обход данной защиты. Стоит отметить, что похожую атаку можно провести не только на компьютерах фирмы Apple.

Positive Technologies разработали специальную утилиту, позволяющую проверить статус режима Manufacturing Mode. Если результат проверки показывает, что режим включен, в Positive Technologies рекомендуют обратиться к производителю компьютера для получения инструкций по его выключению. Утилита предназначена для ОС Windows и Linux, поскольку пользователям компьютеров Apple достаточно установить указанное выше обновление.

Уязвимые чипсеты Intel используются во всем мире, от домашних и рабочих ноутбуков до корпоративных серверов, отметили в Positive Technologies. Ранее выпущенное Intel обновление не исключало возможность эксплуатации уязвимостей CVE-2017-5705, CVE-2017-5706 и CVE-2017-5707, так как при наличии у атакующего доступа на запись к ME-региону он всегда может записать уязвимую версию МЕ и проэксплуатировать уязвимость в ней.

Уязвимость, позволяющая менять настройки без пароля

В январе 2017 года в операционной системе macOS нашли уязвимость, позволяющую изменять настройки без пароля. Любой желающий, который получил доступ к компьютеру, может попасть в меню настроек App Store. Причем знать чужие логин и пароль для этого не нужно.

Баг обнаружили исследователи Open Radar. Они поделились с тем, как можно осуществить «взлом» в версии macOS High Sierra 10.13.2: зайти в системные настройки, выбрать раздел App Store, нажать на пиктограмму замка для разблокировки, ввести свое имя пользователя и любой пароль, нажать на кнопку разблокировки.

Настройки App Store

Такая последовательность позволяет получить доступ к настройкам App Store, в том числе внести изменения в систему обновлений macOS и приложений, а также снизить безопасность операционной системы. При должных навыках злоумышленники могут получить контроль над ПК.

По словам специалистов Open Radar, уязвимость отсутствует в версиях macOS Sierra 10.12.6 и ниже. К 11 января 2018 года наиболее свежей модификацией ОС является macOS 10.13.2.

Сообщение об уязвимости, которая позволяет менять настройки без пароля, появилось на сайте Open Radar 8 января 2018 года. В тот же день Apple выпустила обновление macOS 10.13.2 (17C205) для защиты от возможного похищения данных через уязвимость в процессорах Intel. Но проблему с паролем в этом обновлении не устранили.

Скорее всего, найденный недостаток компьютерной платформы будет устранен в релизе 10.13.3, однако в Apple воздерживаются от комментариев.

До выхода апдейта пользователям рекомендуется использовать аккаунты без прав администратора, в которых этой проблемы нет.

В ноябре 2017 года стало известно о более серьезной уязвимости в macOS. Речь идет о связанном с вводом паролей баге, при помощи которого можно было получать доступ к системе с правами администратора. Apple исправила эту ошибку.[3]

2017: Вирус FruitFly

В январе 2017 года антивирусная компания Malwarebytes обнаружила[4] вирус для компьютеров Mac, что большая редкость — продукция Apple считается гораздо более защищенной, чем Windows или Android. Вирус нашли на четырех компьютерах в биомедицинских исследовательских центрах. Исследователи отмечали, что в коде вируса (его назвали FruitFly — «плодовая мушка») содержатся отсылки к старым версиям операционной системы OS X и библиотекам, не обновлявшимся с конца 90-х. Можно предположить, что вредоносная программа существовала как минимум с 2014 года — и ее никто не замечал[5].

В отчете Malwarebytes говорилось, что одноименный антивирус теперь умеет находить вирус, а Apple выпустила обновление для защиты от его дальнейшего распространения. Но через несколько месяцев бывший хакер Агентства национальной безопасности США Патрик Уордл наткнулся на еще один экземпляр такого вируса. FruitFly 2, по его словам, не определялся ни одним антивирусом, мог быть создан еще раньше — порядка пяти или даже десяти лет назад — и успел заразить как минимум несколько сотен компьютеров, в том числе принадлежащих частным лицам.

Судя по всему, главное предназначение вируса — шпионить за действиями пользователей. Он может «подглядывать» через вебкамеру, делать скриншоты экрана, регистрировать нажатия на кнопки клавиатуры. Программа также умеет перехватывать управление курсором мыши и клавиатурой и предупреждать хакеров, когда владелец компьютера возвращается к работе.

В вирусе была заложена возможность отправлять данные своим создателям. При этом в коде было прописано несколько альтернативных доменных имен на случай, если адрес основного сервера окажется недоступен. Уордл обнаружил, что запасные домены были свободны, зарегистрировал их и запустил вирус на виртуальной машине.

После этого произошло то, чего исследователь не ожидал: к зарегистрированным им доменам подключились около 400 компьютеров, зараженных вирусом. Уордл мог собрать информацию с этих компьютеров или перехватить их управление, но вместо этого он обратился в ФБР. Ведомство ведет расследование, но никаких деталей не раскрывает. Apple также не комментирует информацию о вирусе.

Исследователи не смогли найти следов создателей FruitFly и не понимают, кому он мог быть выгоден. Он недостаточно сложный, чтобы заподозрить подконтрольных властям хакеров; он не пытается красть пароли и данные кредитных карт пользователей, чтобы быть интересным для преступников. Как вирус оказывается на компьютерах жертв, тоже неизвестно.

2015: Вирус-буткит Thunderstrike

В начале 2015 года появился новый вирус-буткит Thunderstrike. Он вживлялся в систему BIOS и захватывал под свой контроль весь компьютер. Даже если пользователь удалял ОС, вирус при этом оставался нетронутым. Лечения от вируса нет до сих пор. Поэтому, лучше защитить свой компьютер заранее.

Далее разработчики выпустили модифицированную версию вируса Thunderstrike 2. Этот вирус распространялся любым способом, в том числе через почту интернет или Bluetooth. Лечению компьютер не подлежит. Единственный способ избавления от вируса перепрограммирование чипа.

2014: OS X Yosemite следит за пользователями

22 октября 2014 года стало известно о передаче новой операционной системой Apple OS X 10.10 Yosemite в Apple поисковых запросов, которые пользователь вводит в функции Spotlight, вместе с информацией о его текущем местоположении.

Право Apple на эти действия прописано в лицензионном соглашении на Yosemite, которое пользователь принимает при установке ОС.

Spotlight — встроенная в OS X функция поиска, впервые появившаяся в OS X Tiger в 2005 году. До Yosemite она позволяла выполнять локальный поиск: файлов, закладок, посещенных сайтов из истории веб-серфинга. В новой версии число источников данных существенно расширено. Теперь функция дополнительно отображает контент из App Store и iTunes Store, заголовки новостей из интернета, близлежащие организации и заведения на карте.

Все запросы, вводимые пользователем в Spotlight, отправляются в Apple. Компания получает и сведения о выбранных пользователем подсказках, которые функция предлагает по мере ввода запроса. Помимо этого, общеупотребимые слова и словосочетания, полученные Apple от пользователя, направляются в поисковую систему Microsoft Bing.

В Apple уверяют, что результаты поиска на локальном диске Mac, выдаваемые функцией Spotlight, в Apple не отправляются, а также что Microsoft не хранит данные, получаемые от Apple. Компании утверждает о шифровании всех запросов, а уникальный идентификатор, к которому они крепятся, обновляется каждые 15 минут.

Возможность отключить отправку данных имеется - необходимо перейти в настройки Spotlight в «Системных настройках» OS X и снять отметки с пунктов «Предложения Spotlight» и «Поиск в интернете с помощью Bing». Если пользователь не желает отправки данных о его местоположении, необходимо из панели «Конфиденциальность» в «Системных настройках» и в разделе «Службы геолокации» снять отметку с пункта «Предложения Spotlight».

Тем не менее Apple продолжит определять приблизительное местоположение с помощью IP-адреса.

Поисковыми запросами и подсказками с Apple делится браузер Safari, игнорируя параметры «Системных настроек». Для отключения отправки в настройках браузера, на вкладке «Поиск» требуется убрать отметку с пункта «Предложения Spotlight».

Авторство находки принадлежит Лэндону Фулеру (Landon Fuller), разработчику и генеральному директору нью-йоркской компании Plausible Labs.

2012: Вирус BackDoor Flashback заразил более 650 тысяч Mac

В 2012 году появился вирус, который заразил более 650 тысяч Mac. Это самая крупная атака на «яблочную» продукцию. Вирус BackDoor Flashback проникал через уязвимость в Java, через которую хакеры создавали ботнеты.

2011

Вирус BlackHole RAT

В 2011 году появился вирус BlackHole RAT, позволявший удалённо управлять компьютером Mac. Пользователи начали задумываться, как защититься от данного вредоноса и хакеры начали им подсказывать, предлагая скачать программу Mac Defender, которая на самом деле похищала крединые данные пользователя.

Обновление Mac OS X отключает компьютеры

14 октября 2011 года масштабное обновление безопасности, выпущенное Apple, устраняет более 70 уязвимостей операционной системы Mac, но его установка может привести к отказу загрузки компьютера, сообщают эксперты.

Вместе с новой версией своей новой ОС, Apple выпустила большое обновление безопасности для ОС Mac OS X, однако, согласно некоторым сообщениям, установка патчей может привести компьютер в неработоспособное состояние – он перестает загружаться, сообщает издание InfoWorld со ссылкой на достоверные источники.

Это обновление устраняет более 70 уязвимостей в основных компонентах операционной системы для компьютеров Mac, а также продуктах сторонних производителей, идущих в комплекте. Многим из слабых мест присвоен высочайший рейтинг опасности: они могут допустить выполнение любого вредоносного кода в результате направленной атаки с применением удаленного доступа.

Патчи содержат корректировки двух проблемных вопросов безопасности в ядре ОС Mac X, по одной в CoreStorage, два в CoreMedia, помимо этого еще и в CoreProcesses, CoreFoundation, CFNetwork, и даже в брандмауэре.

Одновременно с этим обновлением Apple осуществила согласование настроек системы, обеспечивающих важный функционал безопасности, с множеством сторонних программных пакетов, таких как Apache HTTPD, BIND, PHP, Tomcat, Mailmain, Python или libpng.

Центральное приложение в экосистеме Apple - QuickTime, в этом выпуске также подверглось обновлению с целью устранения 11 разнообразных уязвимостей. Тем не менее, некоторые из них имеют значение лишь для операционной системы X Snow Leopard.

Несмотря на все преимущества, включенные в обновление, пользователям необходимо тщательно взвесить - следует ли его устанавливать. Поскольку, по некоторым данным, его установка может привести к серьезным проблемам.

Исследователь в области безопасности систем Драгос Руию (Dragos Ruiu) в четверг предупредил в твиттере, что обновление системы безопасности операционной системы Apple при загрузке создает критическую ошибку в ядре MacBook. Позже он подтвердил, что и другие пользователи сталкиваются с подобными проблемами, особенно в системах Lion/Snow в конфигурации с двойной загрузкой. «Если у вас два или более раздела ОС на MBP [MacBook Pro], они разрушатся», - отметил эксперт.

Между тем, старший технический консультант компании Sophos Грэм Клули (Graham Cluley) сообщил об ошибках установки недавно выпущенной Apple мобильной операционной системы iOS 5. Он не подтвердил наличие проблем с загрузкой ОС Mac, но посоветовал пользователям отложить обновление, если, по их мнению, в результате установки могут возникнуть сложности. «Я советую связаться с технической поддержкой Apple и узнать, имеется ли у них решение проблемы. Если есть подозрения, что это может затронуть пользователя, может быть, стоит повременить с установкой обновления безопасности, пока Apple не сообщит об устранении ошибок», - сказал Клули.

Новая ОС Mac X v10.7.2 Lion содержит большинство патчей Security Update 2011-006 и имеются сведения, что она также создает трудности в установке. На форумах технической поддержки Apple начали появляться записи пользователей о том, что «После обновления до 10.7.2 Lion, система теперь зависает при загрузке» или «Mac вынудил меня перезагрузиться после обновления до 10.7.2».

Один из пользователей предполагает, что сброс (reset) PRAM (параметрическое оперативное запоминающее устройство) после обновления может разрешить эту проблему. Apple не комментирует ситуацию.

2007: Вирус BadBunny и RSPlug-A

В 2007 году на дисплее Mac, Linux и Windows начала появляться пошлая фотография мужчины, переодетого в костюм кролика и девушки. Фотографию не прилагаем, можете найти её сами через любой поисковик. Этот вирус получил название BadBunny.

В этом же году появился первый вирус мошенник RSPlug-A. Принцип его работы был таков — пользователь скачивал плагин, якобы для просмотра видео, на сайте «для взрослых». В дальнейшем вредоносный код менял настройки DNS и перенаправлял его на фишинговые сайты.

2006: Вирус Leap-A

В 2006 году через I-Chat на компьютеры Mac начал проникать вирус Leap-A. Он попадал в систему и получал информацию о контактах и системных файлах.

2004: Вирус Renepo

В 2004 году появился вирус Renepo, который заражал Mac OS X. Это первый вирус, который распространялся по сети. Он отключал систему защиты компьютера, устанавливал на компьютер утилиты для взлома и похищения паролей, а также менял файлы.

1995-1996: Вирусы Concept, Laroux, AutoStart 9805 и Sevendust 666

В 1996 году в Гонконге был обнаружен вирус AutoStart 9805. Это был первый полноценный червь, который распространялся через CD-ROM. Он изменял названия файлов и всячески проявлял свою активность. Также он копировал себя во все разделы жёсткого диска.

В 1995-1996 годах появились два вируса с названиями Concept и Laroux. Не смотря на то, что они не приносили особого вреда, по аналогии с ними были созданы тысячи вирусов, которые заражали файлы MS Office.

Также в 1996 году появился один из первых вирусов, который сильно потрепал нервы пользователей Mac Sevendust 666. Вирус полностью уничтожал все файлы на жестком диске, оставляя в папке Extensions файл под названием «666».

1988: Вирус HyperAvenger

В 1988 году впервые дал о себе знать вирус, получивший название HyperAvenger. Этот червь выводил на экраны пользователей информацию про кандидата в президенты США Майкла Дукаскиса. Второе появление вируса было замечено в Бельгии и Голландии в 1991 году. Тогда на компьютерах, где по умолчанию был установлен немецкий язык, выходило сообщение `Hey,what are you doing? Don’t panic`, а из колонок раздавался немецкая народная музыка.

1982: Вирус ElkCloner и nVIR

В 1982 году появился вирус, который называется ElkCloner. Создал его 15-летний школьник, а потом распространил на компьютеры Apple II. При каждой 50-й загрузке систем на экран выводилось небольшое стихотворение. Не смотря на то, что червь не приносил особого вреда, его можно назвать самым первым вирусом, который заразил Mac.

Самым первым вредоносным вирусом для Mac стал вирус nVIR. Распространялся он от компьютера к компьютеру при помощи дискет. Данный вирус не позволял пользователю открывать приложения и создавал сбои в системе. При этом из динамиков компьютера раздавался писк. А на мониторе вылезало диалоговое окно с надписью `Don’t panic!`.

См. также

Примечания