2018/06/14 18:00:48

Безопасность macOS

Какие угрозы сопровождают работу на компьютерах с macOS (до 2016 г. OS X).

Содержание

Основная статья: Mac OS

2018

Закрыта уязвимость в прошивке персональных компьютеров

Компания Apple 14 июня 2018 года объявила о выпуске обновления для macOS High Sierra 10.13.4, которое устраняет уязвимость в прошивке персональных компьютеров (CVE-2018-4251), обнаруженную экспертами Positive Technologies Максимом Горячим и Марком Ермоловым. Подробная информация об этом представлена на сайте технической поддержки Apple.

«
Уязвимость позволяет злоумышленнику с правами администратора получить несанкционированный доступ к критически важным частям прошивки, записать туда уязвимую версию Intel ME и через ее эксплуатацию тайно закрепиться на устройстве. В дальнейшем он сможет получить полный контроль над компьютером и осуществлять шпионскую деятельность, без малейшей вероятности быть обнаруженным, — рассказал Максим Горячий.
»

Intel ME имеет специальный режим работы — так называемый Manufacturing Mode, который предназначен для использования исключительно производителями материнских плат. Данный режим предоставляет дополнительные возможности, которые может использовать злоумышленник.

Находясь в режиме Manufacturing Mode, Intel ME позволяет выполнять специальную команду, после чего ME-регион становится доступным на запись через встроенный в материнскую плату SPI-контроллер. Имея возможность запускать код на атакуемой системе и отправлять команды в Intel ME, злоумышленник может перезаписывать прошивку Intel ME, в том числе на версию, уязвимую для CVE-2017-5705, CVE-2017-5706 и CVE-2017-5707, и таким образом выполнять произвольный код на Intel ME даже в системах с установленным патчем.

Оказалось, что в MacBook этот режим также включен. Хотя в самой прошивке предусмотрена дополнительная защита от атаки на перезапись регионов SPI Flash (в случае если доступ к какому-либо региону открыт, прошивка не позволяет загрузить ОС), исследователи обнаружили недокументированную команду, которая перезагружает Intel ME без перезагрузки основной системы, что делало возможным обход данной защиты. Стоит отметить, что похожую атаку можно провести не только на компьютерах фирмы Apple.

Positive Technologies разработали специальную утилиту, позволяющую проверить статус режима Manufacturing Mode. Если результат проверки показывает, что режим включен, в Positive Technologies рекомендуют обратиться к производителю компьютера для получения инструкций по его выключению. Утилита предназначена для ОС Windows и Linux, поскольку пользователям компьютеров Apple достаточно установить указанное выше обновление.

Уязвимые чипсеты Intel используются во всем мире, от домашних и рабочих ноутбуков до корпоративных серверов, отметили в Positive Technologies. Ранее выпущенное Intel обновление не исключало возможность эксплуатации уязвимостей CVE-2017-5705, CVE-2017-5706 и CVE-2017-5707, так как при наличии у атакующего доступа на запись к ME-региону он всегда может записать уязвимую версию МЕ и проэксплуатировать уязвимость в ней.

Уязвимость, позволяющая менять настройки без пароля

В январе 2017 года в операционной системе macOS нашли уязвимость, позволяющую изменять настройки без пароля. Любой желающий, который получил доступ к компьютеру, может попасть в меню настроек App Store. Причем знать чужие логин и пароль для этого не нужно.

Баг обнаружили исследователи Open Radar. Они поделились с тем, как можно осуществить «взлом» в версии macOS High Sierra 10.13.2: зайти в системные настройки, выбрать раздел App Store, нажать на пиктограмму замка для разблокировки, ввести свое имя пользователя и любой пароль, нажать на кнопку разблокировки.

Настройки App Store

Такая последовательность позволяет получить доступ к настройкам App Store, в том числе внести изменения в систему обновлений macOS и приложений, а также снизить безопасность операционной системы. При должных навыках злоумышленники могут получить контроль над ПК.

По словам специалистов Open Radar, уязвимость отсутствует в версиях macOS Sierra 10.12.6 и ниже. К 11 января 2018 года наиболее свежей модификацией ОС является macOS 10.13.2.

Сообщение об уязвимости, которая позволяет менять настройки без пароля, появилось на сайте Open Radar 8 января 2018 года. В тот же день Apple выпустила обновление macOS 10.13.2 (17C205) для защиты от возможного похищения данных через уязвимость в процессорах Intel. Но проблему с паролем в этом обновлении не устранили.

Скорее всего, найденный недостаток компьютерной платформы будет устранен в релизе 10.13.3, однако в Apple воздерживаются от комментариев.

До выхода апдейта пользователям рекомендуется использовать аккаунты без прав администратора, в которых этой проблемы нет.

В ноябре 2017 года стало известно о более серьезной уязвимости в macOS. Речь идет о связанном с вводом паролей баге, при помощи которого можно было получать доступ к системе с правами администратора. Apple исправила эту ошибку.[1]

2017: Вирус FruitFly

В январе 2017 года антивирусная компания Malwarebytes обнаружила[2] вирус для компьютеров Mac, что большая редкость — продукция Apple считается гораздо более защищенной, чем Windows или Android. Вирус нашли на четырех компьютерах в биомедицинских исследовательских центрах. Исследователи отмечали, что в коде вируса (его назвали FruitFly — «плодовая мушка») содержатся отсылки к старым версиям операционной системы OS X и библиотекам, не обновлявшимся с конца 90-х. Можно предположить, что вредоносная программа существовала как минимум с 2014 года — и ее никто не замечал[3].

В отчете Malwarebytes говорилось, что одноименный антивирус теперь умеет находить вирус, а Apple выпустила обновление для защиты от его дальнейшего распространения. Но через несколько месяцев бывший хакер Агентства национальной безопасности США Патрик Уордл наткнулся на еще один экземпляр такого вируса. FruitFly 2, по его словам, не определялся ни одним антивирусом, мог быть создан еще раньше — порядка пяти или даже десяти лет назад — и успел заразить как минимум несколько сотен компьютеров, в том числе принадлежащих частным лицам.

Судя по всему, главное предназначение вируса — шпионить за действиями пользователей. Он может «подглядывать» через вебкамеру, делать скриншоты экрана, регистрировать нажатия на кнопки клавиатуры. Программа также умеет перехватывать управление курсором мыши и клавиатурой и предупреждать хакеров, когда владелец компьютера возвращается к работе.

В вирусе была заложена возможность отправлять данные своим создателям. При этом в коде было прописано несколько альтернативных доменных имен на случай, если адрес основного сервера окажется недоступен. Уордл обнаружил, что запасные домены были свободны, зарегистрировал их и запустил вирус на виртуальной машине.

После этого произошло то, чего исследователь не ожидал: к зарегистрированным им доменам подключились около 400 компьютеров, зараженных вирусом. Уордл мог собрать информацию с этих компьютеров или перехватить их управление, но вместо этого он обратился в ФБР. Ведомство ведет расследование, но никаких деталей не раскрывает. Apple также не комментирует информацию о вирусе.

Исследователи не смогли найти следов создателей FruitFly и не понимают, кому он мог быть выгоден. Он недостаточно сложный, чтобы заподозрить подконтрольных властям хакеров; он не пытается красть пароли и данные кредитных карт пользователей, чтобы быть интересным для преступников. Как вирус оказывается на компьютерах жертв, тоже неизвестно.

2015: Вирус-буткит Thunderstrike

В начале 2015 года появился новый вирус-буткит Thunderstrike. Он вживлялся в систему BIOS и захватывал под свой контроль весь компьютер. Даже если пользователь удалял ОС, вирус при этом оставался нетронутым. Лечения от вируса нет до сих пор. Поэтому, лучше защитить свой компьютер заранее.

Далее разработчики выпустили модифицированную версию вируса Thunderstrike 2. Этот вирус распространялся любым способом, в том числе через почту интернет или Bluetooth. Лечению компьютер не подлежит. Единственный способ избавления от вируса перепрограммирование чипа.

2014: OS X Yosemite следит за пользователями

22 октября 2014 года стало известно о передаче новой операционной системой Apple OS X 10.10 Yosemite в Apple поисковых запросов, которые пользователь вводит в функции Spotlight, вместе с информацией о его текущем местоположении.

Право Apple на эти действия прописано в лицензионном соглашении на Yosemite, которое пользователь принимает при установке ОС.

Spotlight — встроенная в OS X функция поиска, впервые появившаяся в OS X Tiger в 2005 году. До Yosemite она позволяла выполнять локальный поиск: файлов, закладок, посещенных сайтов из истории веб-серфинга. В новой версии число источников данных существенно расширено. Теперь функция дополнительно отображает контент из App Store и iTunes Store, заголовки новостей из интернета, близлежащие организации и заведения на карте.

Все запросы, вводимые пользователем в Spotlight, отправляются в Apple. Компания получает и сведения о выбранных пользователем подсказках, которые функция предлагает по мере ввода запроса. Помимо этого, общеупотребимые слова и словосочетания, полученные Apple от пользователя, направляются в поисковую систему Microsoft Bing.

В Apple уверяют, что результаты поиска на локальном диске Mac, выдаваемые функцией Spotlight, в Apple не отправляются, а также что Microsoft не хранит данные, получаемые от Apple. Компании утверждает о шифровании всех запросов, а уникальный идентификатор, к которому они крепятся, обновляется каждые 15 минут.

Возможность отключить отправку данных имеется - необходимо перейти в настройки Spotlight в «Системных настройках» OS X и снять отметки с пунктов «Предложения Spotlight» и «Поиск в интернете с помощью Bing». Если пользователь не желает отправки данных о его местоположении, необходимо из панели «Конфиденциальность» в «Системных настройках» и в разделе «Службы геолокации» снять отметку с пункта «Предложения Spotlight».

Тем не менее Apple продолжит определять приблизительное местоположение с помощью IP-адреса.

Поисковыми запросами и подсказками с Apple делится браузер Safari, игнорируя параметры «Системных настроек». Для отключения отправки в настройках браузера, на вкладке «Поиск» требуется убрать отметку с пункта «Предложения Spotlight».

Авторство находки принадлежит Лэндону Фулеру (Landon Fuller), разработчику и генеральному директору нью-йоркской компании Plausible Labs.

2012: Вирус BackDoor Flashback заразил более 650 тысяч Mac

В 2012 году появился вирус, который заразил более 650 тысяч Mac. Это самая крупная атака на «яблочную» продукцию. Вирус BackDoor Flashback проникал через уязвимость в Java, через которую хакеры создавали ботнеты.

2011

Вирус BlackHole RAT

В 2011 году появился вирус BlackHole RAT, позволявший удалённо управлять компьютером Mac. Пользователи начали задумываться, как защититься от данного вредоноса и хакеры начали им подсказывать, предлагая скачать программу Mac Defender, которая на самом деле похищала крединые данные пользователя.

Обновление Mac OS X отключает компьютеры

14 октября 2011 года масштабное обновление безопасности, выпущенное Apple, устраняет более 70 уязвимостей операционной системы Mac, но его установка может привести к отказу загрузки компьютера, сообщают эксперты.

Вместе с новой версией своей новой ОС, Apple выпустила большое обновление безопасности для ОС Mac OS X, однако, согласно некоторым сообщениям, установка патчей может привести компьютер в неработоспособное состояние – он перестает загружаться, сообщает издание InfoWorld со ссылкой на достоверные источники.

Это обновление устраняет более 70 уязвимостей в основных компонентах операционной системы для компьютеров Mac, а также продуктах сторонних производителей, идущих в комплекте. Многим из слабых мест присвоен высочайший рейтинг опасности: они могут допустить выполнение любого вредоносного кода в результате направленной атаки с применением удаленного доступа.

Патчи содержат корректировки двух проблемных вопросов безопасности в ядре ОС Mac X, по одной в CoreStorage, два в CoreMedia, помимо этого еще и в CoreProcesses, CoreFoundation, CFNetwork, и даже в брандмауэре.

Одновременно с этим обновлением Apple осуществила согласование настроек системы, обеспечивающих важный функционал безопасности, с множеством сторонних программных пакетов, таких как Apache HTTPD, BIND, PHP, Tomcat, Mailmain, Python или libpng.

Центральное приложение в экосистеме Apple - QuickTime, в этом выпуске также подверглось обновлению с целью устранения 11 разнообразных уязвимостей. Тем не менее, некоторые из них имеют значение лишь для операционной системы X Snow Leopard.

Несмотря на все преимущества, включенные в обновление, пользователям необходимо тщательно взвесить - следует ли его устанавливать. Поскольку, по некоторым данным, его установка может привести к серьезным проблемам.

Исследователь в области безопасности систем Драгос Руию (Dragos Ruiu) в четверг предупредил в твиттере, что обновление системы безопасности операционной системы Apple при загрузке создает критическую ошибку в ядре MacBook. Позже он подтвердил, что и другие пользователи сталкиваются с подобными проблемами, особенно в системах Lion/Snow в конфигурации с двойной загрузкой. «Если у вас два или более раздела ОС на MBP [MacBook Pro], они разрушатся», - отметил эксперт.

Между тем, старший технический консультант компании Sophos Грэм Клули (Graham Cluley) сообщил об ошибках установки недавно выпущенной Apple мобильной операционной системы iOS 5. Он не подтвердил наличие проблем с загрузкой ОС Mac, но посоветовал пользователям отложить обновление, если, по их мнению, в результате установки могут возникнуть сложности. «Я советую связаться с технической поддержкой Apple и узнать, имеется ли у них решение проблемы. Если есть подозрения, что это может затронуть пользователя, может быть, стоит повременить с установкой обновления безопасности, пока Apple не сообщит об устранении ошибок», - сказал Клули.

Новая ОС Mac X v10.7.2 Lion содержит большинство патчей Security Update 2011-006 и имеются сведения, что она также создает трудности в установке. На форумах технической поддержки Apple начали появляться записи пользователей о том, что «После обновления до 10.7.2 Lion, система теперь зависает при загрузке» или «Mac вынудил меня перезагрузиться после обновления до 10.7.2».

Один из пользователей предполагает, что сброс (reset) PRAM (параметрическое оперативное запоминающее устройство) после обновления может разрешить эту проблему. Apple не комментирует ситуацию.

2007: Вирус BadBunny и RSPlug-A

В 2007 году на дисплее Mac, Linux и Windows начала появляться пошлая фотография мужчины, переодетого в костюм кролика и девушки. Фотографию не прилагаем, можете найти её сами через любой поисковик. Этот вирус получил название BadBunny.

В этом же году появился первый вирус мошенник RSPlug-A. Принцип его работы был таков — пользователь скачивал плагин, якобы для просмотра видео, на сайте «для взрослых». В дальнейшем вредоносный код менял настройки DNS и перенаправлял его на фишинговые сайты.

2006: Вирус Leap-A

В 2006 году через I-Chat на компьютеры Mac начал проникать вирус Leap-A. Он попадал в систему и получал информацию о контактах и системных файлах.

2004: Вирус Renepo

В 2004 году появился вирус Renepo, который заражал Mac OS X. Это первый вирус, который распространялся по сети. Он отключал систему защиты компьютера, устанавливал на компьютер утилиты для взлома и похищения паролей, а также менял файлы.

1995-1996: Вирусы Concept, Laroux, AutoStart 9805 и Sevendust 666

В 1996 году в Гонконге был обнаружен вирус AutoStart 9805. Это был первый полноценный червь, который распространялся через CD-ROM. Он изменял названия файлов и всячески проявлял свою активность. Также он копировал себя во все разделы жёсткого диска.

В 1995-1996 годах появились два вируса с названиями Concept и Laroux. Не смотря на то, что они не приносили особого вреда, по аналогии с ними были созданы тысячи вирусов, которые заражали файлы MS Office.

Также в 1996 году появился один из первых вирусов, который сильно потрепал нервы пользователей Mac Sevendust 666. Вирус полностью уничтожал все файлы на жестком диске, оставляя в папке Extensions файл под названием «666».

1988: Вирус HyperAvenger

В 1988 году впервые дал о себе знать вирус, получивший название HyperAvenger. Этот червь выводил на экраны пользователей информацию про кандидата в президенты США Майкла Дукаскиса. Второе появление вируса было замечено в Бельгии и Голландии в 1991 году. Тогда на компьютерах, где по умолчанию был установлен немецкий язык, выходило сообщение `Hey,what are you doing? Don’t panic`, а из колонок раздавался немецкая народная музыка.

1982: Вирус ElkCloner и nVIR

В 1982 году появился вирус, который называется ElkCloner. Создал его 15-летний школьник, а потом распространил на компьютеры Apple II. При каждой 50-й загрузке систем на экран выводилось небольшое стихотворение. Не смотря на то, что червь не приносил особого вреда, его можно назвать самым первым вирусом, который заразил Mac.

Самым первым вредоносным вирусом для Mac стал вирус nVIR. Распространялся он от компьютера к компьютеру при помощи дискет. Данный вирус не позволял пользователю открывать приложения и создавал сбои в системе. При этом из динамиков компьютера раздавался писк. А на мониторе вылезало диалоговое окно с надписью `Don’t panic!`.

См. также