Trojaner, Viren und Co.: Wie sicher sind iPhone, iPad und Mac? (Teil 2)

von

Der Flashback-Trojaner im April 2012 richtete wenig Schaden an, sorgte aber für große Aufregung. Nicht unbedingt unter den Mac-Nutzern, aber vor allem bei den Medien. Sie läuteten das “Das Ende der Unschuld” ein und prophezeiten wieder einmal die gleiche Malware-, Trojaner- und Virenlast für Apple wie unter Windows. Im zweiten Teil unseres Gesprächs erzählt Markus Möller, bekannt als Malware-Experte MacMark, warum die Apple-Systeme Mac OS X und iOS sicherer sind.

Trojaner, Viren und Co.: Wie sicher sind iPhone, iPad und Mac? (Teil 2)

<- Fortsetzung von “iPhone, iPad und Mac: Die Wahrheit über Trojaner, Viren und Co. (Teil 1)

Giga: MacMark, Du dokumentierst auf Deinen Seiten, dass OS X als Unix-System mit sauber getrennten Rechten zwischen Root, Admin und User gegenüber anderen Systemen sehr sicher ist und dass nur Lücken und fehlerhafte Programmierung in Apps und System gefährlich sind. Derartige Fehler wird es wahrscheinlich immer geben. Werden die Angriffe gegen OS X und iOS häufiger?

MacMark: Das hängt davon ab, ob und wie lange so leicht und zuverlässig ausnutzbare Bugs wie der Java-Bug für Flashback offen bleiben.

Die Bugs sind der Schlüssel zum System?

Bugs gibt es immer, keine Frage. Der Unterschied ist, wieviel einer Malware damit ermöglicht wird. In einem typischen Windows-Szenario komme ich durch einen Bug in einem Anwendungs-Programm, über den ich Code einschleusen kann, an Systemrechte und kann mich daher einfach tief ins System eingraben. Unter einem typischen Mac-Szenario komme ich mit dem gleichen Bug nicht an Systemrechte. Zudem kann das von Apple langsam flächendeckend durchgesetzte Sandboxing für Applikationen den Zugriff auf die Userdaten schützen.

iOS hat keine Lücken?

Da iOS standardmäßig keine Software von unbekannten Programmierern zulässt, sind hier Angriffe schwieriger und seltener. Außerdem ist das Sandboxing auf iOS schon für alle Anwendungen aktiv.

Grundsätzlich: Ist AV-Software auf Macs notwendig?

Auf jeden Fall für die AV-Industrie, um einen neuen Markt zu erschliessen.

Ernsthaft?

Selbst wenn man annimmt, dass AV-Software nützlich wäre, konfigurieren selbst erfahrene User sie so, dass sie nicht helfen kann. Um den Scan-Aufwand zu reduzieren, lassen die User nur bestimmte Verzeichnisse überwachen. Sie haben keine Ahnung, in welche Verzeichnisse jede Software trotzdem noch schreiben kann. Einzig sinnvolle Konfiguration wäre: Voll-Scan der gesamten Platte, und zwar aller Platten.

Also keine Empfehlung?

AV-Software ist nicht empfehlenswert am Mac, weil das Risiko größer ist als der Nutzen. Um alles scannen und korrigieren zu können, benötigt AV-Software Systemrechte. Damit ist sie selbst lukratives Angriffsziel und ein zusätzliches Risiko. Zudem ist AV-Software schon öfters dadurch aufgefallen, dass sie das System lahmlegt oder Userdaten beschädigt. Etwas, was Malware bislang nicht in diesem Umfang gelungen ist auf dem Mac. Zuletzt war das bei Flashback und Kaspersky zu sehen, wo Kaspersky den Schaden anrichtete, während die Malware gar nicht so böse war wie die AV-Software.

Ist aber nicht immer so.

AV-Software hat in der Praxis lausige Erkennungsraten. Aktuelles Beispiel ist auch hier Flashback, der von keiner AV-Software erkannt wurde, bis sie aktualisiert wurden, nachdem so viele Macs infiziert waren.

Gibt’s denn eine Lösung?

Apple geht mit XProtect einen Weg, der Dauer-Scannen unnötig macht, keine Systemdateien beschädigt und keine Userdaten löscht und trotzdem die gängigsten Schädlinge abfängt. Ganz ohne Konfigurationsaufwand und automatisiert tagesaktuell. XProtect konnte die eine Java-Variante von Flashback allerdings auch nicht aufhalten, weil kein normaler Download erfolgte, bei dem das Quarantäne-Flag gesetzt wird, sondern am Browser vorbei durch das Applet.

Dann brauchen wir wirklich keinen Schutz?

Bekannte Sicherheits-Experten, beispielsweise prominente Hacker wie Charles Miller oder Dino Dai Zovi, würden ihrer Mutter auch keine AV-Software am Mac empfehlen:

Und bei iOS?

Bei iOS kann AV-Software gar nicht funktionieren, weil sie nicht alles scannen und erst recht nicht alles schreiben kann, denn das könnten andere Apps dann auch. Wenn ich eine App A und B installiere, dann können die sich nicht einmal gegenseitig lesen.

Eine AV-Software auf iOS kann nur mit einem Jailbreak funktionieren, der einige Sicherheits-Funktionen abschaltet und Programmen ermöglicht, unter Root zu laufen, was keine gute Idee ist.

Noch mal grundsätzlich: Fragen Schädlinge unter OS X wirklich immer nach dem Passwort, bevor sie wirksam werden oder wirken sie auch unbemerkt, wenn man sie erstmal hat.

Um im Verzeichnis des Users zu lesen und zu schreiben, muss ein Schadprogramm nicht nach Passworten fragen. Ein Schädling kann ohne Passworteingaben alles tun, was der User selbst auch tun könnte. Die Passwort-Abfragen verhindern nur ein tiefes Eingraben ins System, nicht jedoch eine Infektion auf User-Ebene. Auf User-Ebene kann ein Schädling ohne Passworte aktiv sein.

Tiefer geht’s also nicht?

Doch, auch das kann zu Systemrechten führen, wenn der Angriff geschickt ist: Ein typischer User verwendet den Terminal-Befehl Sudo nicht, erfahrene Benutzer aber schon. Mit Sudo kann man für einen Befehl auf Root wechseln. Sudo hat ein Passwort-Timeout von 5 Minuten, was man jedoch auch anders einstellen kann. Idealerweise schaltet man das Timeout ganz aus, denn wenn ein Schädling darauf wartet, dass der User sudo nutzt, dann kann er selbst sudo nutzen, und zwar ohne das Passwort erneut eingeben zu müssen für die nächsten 5 Minuten. Und dann ist das System Toast.

Was ist mit Social Engineering Angriffen? Sind sie nicht generell eine größere Bedrohung als solche durch Sicherheitslücken in Programmen und Betriebssystemen?

Social Engineering, also Trojanische Pferde, sprich Programme, die den Benutzer täuschen und unerwünschte Dinge tun, sind so beliebt, weil sie keine technischen Hürden überwinden müssen. Wenn man das Vertrauen des Benutzers hat, hat man den Rechner, denn der Benutzer wird dem Programm, dem er traut, auch sein Paßwort geben.

Flashback war ein Trojaner.

An Flashback konnte man gut sehen, dass nur 12 Prozent der Benutzer den Passwortdialog beantwortet hat, also 88 Prozent der betroffenen Mac-User misstrauisch waren. Und misstrauische User sind nicht gut für Trojaner. Die erfolgreichen Flashback-Versionen hatten den Vorteil, dass sie durch den Selbstdownload der XProtect-Warnmeldung entkamen. Normalerweise müssen Trojaner jedoch an diesem Dialog vorbei, weil sie vom Webbrowser oder anderen regulären Programmen heruntergeladen wurden, die das Quarantäne-Flag setzen, und dann werden sie von misstrauischen Usern gestoppt.

Geht es auch ohne Passwort?

Angriffe, die sich nicht auf Social Engineering verlassen, sind zuverlässiger, weil technische Fehler nicht von der Laune und Vertauensseeligkeit des Benutzers abhängen. Es gab Trojaner für OS X, die sich als Bilder(-Sammlung) getarnt hatten. Wenn der Benutzer von aktuelleren OS X-Versionen dann mitgeteilt bekommt, dass das Bild ein Programm ist, dann wird er misstrauisch.

Die ersten Flashback-Versionen waren ziemlich erfolglos. Das waren echte Trojanische Pferde, die sich als Installationsprogramm für den Flash-Player ausgegeben hatten. Die Social-Engineering-Versionen von Flashback waren also ein Reinfall.

Letztlich hat es Flashback aber geschafft.

Die letzten so erfolgreichen Flashback-Versionen waren keine Trojaner mehr, denn der Benutzer konnte nicht entscheiden, ob er sie ausführen möchte. Viele Betroffene waren nur wie immer auf dem Blog ihres Vertrauens, das jedoch diesmal infiziert war und ein Java-Applet startete, das die initiale Infektion auf die Platte schrieb. Flashback war erfolgreich, weil er für die Infektion den Benutzer nicht verführen musste. Lediglich, um den Angriff gezielter und zuverlässiger fortzusetzen, also mit Rootrechten in Safari.app schreiben zu können, wurde nach einem Passwort gefragt. Ansonsten wurde etwas riskanter für den Schädling vorgegangen und zur Laufzeit in jedes Programm der Payload injiziert, was so gut wie immer bei irgendeinem Programm schiefläuft und verdächtige Crashes verursacht.

Deswegen keine Angst vor der Verführung?

Social Engineering Angriffe kommen zwar häufig vor, sie sind jedoch lange nicht so erfolgreich wie Angriffe, die den Benutzer nicht benötigen. Darum sind Social Engineering Angriffe nicht die größte Bedrohung.

Reagiert Apple schnell genug auf Lücken in OS X und iOS?

-> Fortsetzung auf der nächsten Seite

Display beim iPhone kaputt? Kein Problem: Reparier es selbst mit dem GIGA & Fixxoo DIY-Set für die iPhone Display-Reparatur - schnell, einfach und preiswert!

Weitere Themen: iMac 2014, iPhone 3GS, MacBook Air, Mac mini (2012), iPhone 3G, iPhone 4, iPhone 4s, Macbook, mac-pro, Microsoft


Kommentare zu diesem Artikel

Neue Artikel von GIGA APPLE

Anzeige
GIGA Marktplatz