2022/11/18 19:39:43

Безопасность macOS

Какие угрозы сопровождают работу на компьютерах с macOS (до 2016 г. OS X).

Содержание

Основная статья: Mac OS

2023

Выпуск экстренных патчей для трёх уязвимостей "нулевого дня"

Apple выпустила экстренные обновления безопасности для устранения трёх новых уязвимостей "нулевого дня", которые были использованы в атаках на пользователей iPhone и Mac. Об этом стало известно 21 сентября 2023 года. Apple устранила все три уязвимости в macOS 12.7/13.6, iOS 16.7/17.0.1, [iPadOS] 16.7/17.0.1 и watchOS 9.6.3/10.0.1, решив проблему с проверкой сертификатов и внедрив улучшенные проверки. Подробнее здесь.

Устранение уязвимостей нулевого дня

Компания Apple 13 февраля 2023 года выпустила обновления безопасности для iOS, iPadOS, macOS и Safari для устранения уязвимостей нулевого дня, которые, по словам компании, активно использовалась в дикой природе (ITW). Подробнее здесь.

2022

50% вредоносных программ для macOS исходят от одного приложения

Согласно отчету Global Threat Report за 2022 год компании Elastic Security Labs, 48% всех вредоносных программ для macOS исходят от одного приложения. Об этом стало известно 17 ноября 2022 года.

Исследователи Elastic Security Labs заявили, что приложение MacKeeper , предназначенное для защиты и повышения производительности устройства, доставляет на компьютеры Apple 48% вредоносных программ, которые нацелены на macOS.

По словам экспертов Elastic Security Labs, этим приложением могут злоупотреблять киберпреступники, поскольку оно имеет обширные разрешения и доступ к процессам и файлам.

На втором месте является вредоносное ПО XCSSET , которое использует уязвимости в браузере Safari, чтобы:

Третье место заняло вредоносное ПО Adload, которое взламывает браузеры жертв и перенаправляет их на вредоносные сайты с сомнительной репутацией.

Экспертам не удалось подробно изучить эти семейства вредоносных программ, но они указали, что MacKeeper, как известно, трудно удалить. Удаление стандартным способом не избавляет от вредоносного ПО, а для его полноценного удаления придется пользоваться инструкциями «продвинутых пользователей».Метавселенная ВДНХ 4.8 т

MacKeeper в 2015 году уже привлек к себе внимание тем, что брешь в приложении привела к компрометации данных 13 млн. пользователей. Как утверждают в Kromtech (разработчик приложения), компанию не интересует конфиденциальная информация клиентов. Список сохраняемых производителем данных включает имя клиента, наименования заказанных продуктов, общественный IP-адрес, а также хеши паролей для учетной записи администратора[1].

Уязвимость, позволяющая выполнить атаку с внедрением процесса в macOS

Согласно отчету ИБ-компании Computest , уязвимость в MacOS позволяет выполнить атаку с внедрением процесса в macOS и прочитать каждый файл на Mac, а также повысить привилегии до root-пользователя. Об этом стало известно 17 августа 2022 года.

С помощью этой уязвимости исследователь Computest Тийс Алкемаде смог выйти из песочницы macOS , а затем обойти защиту целостности системы (System Integrity Protection, SIP), основную защиту для предотвращения доступа неавторизованного кода к конфиденциальным файлам на Mac.

Алкемаде впервые обнаружил уязвимость в декабре 2020 года и сообщил о проблеме Apple через программу Bug Bounty. С тех пор Apple выпустила 2 обновления для исправления этой уязвимости, первое в апреле 2021 года , а затем в октябре 2021 года .

Ошибка CVE-2021-30873 может позволить вредоносным приложениям собрать конфиденциальную информацию о пользователе и повысить привилегии злоумышленника до root-пользователя для перемещения по системе.

Иллюстрация:securitylab.ru

Уязвимость находится в «сериализованном» объекте в системе сохраненных состояний, которая сохраняет приложения и окна, открытые пользователями при выключении Mac. Эта система также может работать во время использования Mac в процессе App Nap.

Когда приложение запускается, оно считывает некоторые файлы и пытается загрузить их, используя небезопасную версию «сериализованного» объекта. Злоумышленник может создать эти файлы в том месте, откуда их будет загружать другое приложение. По сути, создается вредоносный «сериализованный» объект, который может заставить систему вести себя так, как хочет киберпреступник.

Отсюда эксперт смог выйти из песочницы приложения Mac. Внедрив код в другое приложение, можно расширить возможности атаки. Кроме того, специалисту удалось обойти SIP-защиту и прочитать практически все файлы на диске, а также изменить определенные системные файлы.

На данный момент нет случаев использования уязвимости. Уязвимость показывает, как злоумышленник может пройти через всю ОС, получая доступ к большему количеству данных. По словам Алкемаде, поскольку локальная безопасность в macOS все больше приближается к модели iOS, это подчеркивает необходимость пересмотра нескольких частей системы[2].

Apple признала наличие дыр в iPhone и iPad. Они позволяют хакерам выдавать себя за владельцев устройств

19 августа 2022 года пользователям Apple поступила настоятельная рекомендация немедленно обновить свои iPhone, iPad и Mac для защиты от ряда уязвимостей в системе безопасности, которые могут позволить злоумышленникам получить полный контроль над устройствами. По словам Apple, есть достоверные сообщения о том, что хакеры уже используют эти уязвимости для атак на пользователей. Подробнее здесь.

Apple выплатила рекордные $100 тыс. взломавшему веб-камеру компьютера студенту

В конце января 2022 года Apple выплатила вознаграждение за ошибку в размере $100 тыс. после того, как студент факультета кибербезопасности, успешно взломавший камеру iPhone в 2019 году, сделал то же самое с Mac-компьютерм.

Студент Райан Пикрен, изучающий кибербезопасность в Технологическом институте Джорджии, отыскал четыре уязвимости в Safari 15 и заработал рекордные $100 тыс. в рамках программы Apple по поиску ошибок Bug Bounty. Пикрен использовал изобретательный подход, который позволил ему запустить произвольный код на целевом Mac. Студент получил самое большое вознаграждение за ошибку, которое когда-либо выплачивала Apple. В 2019 году Пикрен также обнаружил ряд уязвимостей, воспользовавшись которыми студент смог включить камеру и микрофоны iPhone без необходимости предоставления пользователем разрешения на конфиденциальность. По словам Райана, защита камеры Apple была довольно сложной, но ему удалось объединить несколько эксплойтов, чтобы обойти защиту. Студент сообщил об этом производителю iPhone, который устранил уязвимости и выплатил ему вознаграждение в размере $75 тыс.

Apple выплатила рекордные $100 тыс. взломавшему веб-камеру компьютера студенту

Не удовлетворившись этим, Райан Пикрен в 2021 году решил проверить, сможет ли он получить контроль над веб-камерой Mac, и ему это удалось. Однако найденный им путь позволил ему сделать гораздо больше… Хакер успешно получил несанкционированный доступ к камере, используя ряд проблем с iCloud Sharing и Safari 15. Хотя данная ошибка требует от жертвы нажать кнопку на всплывающем окне с сайта, взлом системы приводит не только к перехвату мультимедийных разрешений. Ошибка дает злоумышленнику полный доступ к каждому веб-сайту, который когда-либо посещала жертва. Это означает, что помимо включения вашей камеры, через найденный баг хакер может взломать ваши учетные записи iCloud, PayPal, Facebook, Gmail и т.д.

Детали несколько запутаны, но одним из ключей к решению этой задачи стала уязвимость в приложении для совместного использования iCloud под названием ShareBear. В случае, если пользователь принимает приглашение поделиться с кем-то документом, Mac запоминает, что пользователь дал разрешение, и не спрашивает его, если пользователь открывает тот же файл позже. Однако стоит учитывать и то, поскольку файл хранится удаленно, владелец может изменить его после того, как пользователи получили к нему доступ. Важно отметить, что файл может быть изменен на совершенно другой тип, в том числе исполняемый, и все равно будет открыт по умолчанию. Это давало Пикрену возможность превратить такой невинный файл, как документ или изображение, во вредоносную программу, которую ваш Mac с радостью запустит. Райан Пикрен рассказал Apple про уязвимости в июле 2021 года, а в начале 2022 года компания выплатила студенту причитающееся вознаграждение.

Первое исправление заключалось в том, что ShareBear просто открывал файлы, а не запускал их (исправлено в macOS Monterey 12.0.1 без присвоения CVE) Второе исправление не позволяло WebKit открывать файлы, помещенные в карантин (исправлено в Safari 15 как CVE-2021-30861.[3]

2021: ПО XLoader за $49 способен красть информацию с Mac

Команда исследователей Check Point Research (CPR) 22 июля 2021 года сообщила о еще одном виде вредоносного ПО, который эволюционировал для кражи информации пользователей MacOS. Данный штамм назвали «XLoader» — он произошел от семейства вредоносных программ Formbook. Последние в основном предназначались для пользователей Windows, но исчезли из продажи в 2018 году. В 2020 году Formbook был переименован в XLoader.

Исследователи CPR, изучая активность XLoader в последние шесть месяцев, обнаружили, что теперь он нацелен не только на пользователей Windows, но и Mac.

Хакеры могут купить лицензии на XLoader в даркнете всего за 49 долларов. При этом они получают возможность собирать учетные данные для входа и снимки экрана, записывать нажатия клавиш и запускать вредоносные файлы. Как правило, жертвы загружают XLoader из фишинговых электронных писем с вредоносными документами Microsoft Office.

XLoader – серьезная потенциальная угроза для всех пользователей Mac.

Команда CPR отслеживала активность Xloader с 1 декабря 2020 по 1 июня 2021 года. Исследователи зафиксировали запросы на покупку XLoader от хакеров из 69 стран. Более половины (53%) жертв проживают в США. Распределение жертв по странам представлено на гистограмме:

Image:Xloader_жертвы.png

Как избежать заражения:

  • Не открывать вложения из писем от неизвестных отправителей.
  • Избегать посещения подозрительных сайтов.
  • Использовать надежное защитное решение, чтобы оперативно выявлять и предотвращать вредоносную активность на устройстве.

XLoader искусно скрывается от обнаружения, поэтому обычному пользователю, не ИБ-специалисту, скорее всего, будет сложно оперативно распознать его присутствие в системе. Если есть подозрение на заражение необходимо проконсультироваться со специалистом по безопасности или использовать сторонние инструменты и защитные решения для выявления, блокировки и удаления этой угрозы с устройства.

Для получения дополнительных технических подробностей команда CPR рекомендует следующие шаги:

  • Перейти в Автозапуск
  • Проверить имя пользователя в ОС.
  • Перейти в каталог / Users / [имя пользователя] / Library / LaunchAgents.
  • Проверить каталог на подозрительные имена файлов (пример ниже - случайное название). /Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist
  • Удалить подозрительный файл.

«
Исследуя разные киберпреступления, мы увидели интересную разработку на базе семейства вредоносных программ Formbook, — рассказывает Янив Балмас, руководитель отдела киберисследований Check Point Software. — XLoader — гораздо более сложная и совершенная программа, чем ее предшественники, и поддерживает различные операционные системы, в частности MacOS. Исторически угрозы для MacOS не были распространены: как правило, они были из категории шпионского ПО и не причиняли слишком большой ущерб. Думаю, что среди пользователей MacOS существует распространенное заблуждение, что ОС Apple более безопасна, чем другие. Раньше мы могли бы сказать, что между вредоносными программами для Windows и MacOS был разрыв, но теперь он постепенно сокращается. Вредоносное ПО для MacOS становится все опаснее и распространеннее. Наши недавние исследования подтверждают эту тенденцию. Киберпреступники все больше интересуются платформой MacOS — и лично я ожидаю очень скоро увидеть больше киберугроз. Семейство Formbook — только начало. Поэтому я бы дважды подумал, прежде чем открывать вложения из писем, которые я получаю от неизвестных отправителей.
»

2020

Рост количества вирусов для macOS на 1092%, до 674 273 единиц - Atlas VPN

В 2020 году количество вредоносных программ для macOS увеличилось более чем в 10 раз, на 1092%. Это больше, чем за предыдущие восемь лет вместе взятых. В отчете Atlas VPN говорится, что в 2020 году было выявлено 674 273 единиц вредоносного ПО, тогда как в 2019 году их количество составляло 56 556.

В отчете отмечается, что с 2012 года по 2019 год исследователи обнаружили 219 257 новых образцов вредоносного ПО для macOS, что значительно меньше показателя за 2020 год. Среднее количество разрабатываемых за год вредоносов для macOS достигло 92 570 единиц. В 2020 году злоумышленники создавали в среднем 1847 вредоносных программ в день для операционной системы Apple.

В 2020 году вирусов для компьютеров Apple стало больше, чем за 8 предыдущих лет вместе взятых

Несмотря на значительный рост угроз в экосистеме Apple, Windows от Microsoft по-прежнему остается гораздо более популярной целью. По сообщению Atlas VPN, в 2020 году количество угроз для Windows в 135 раз превысило количество угроз для macOS.

В 2020 году исследователи выявили рекордные 91,05 млн новых образцов вредоносного ПО для Windows, то есть 249 452 новых образца вредоносного ПО разрабатывались каждый день.

«
Рекордному росту угроз способствовал тот факт, что новые вредоносные программы теперь легче создавать, чем когда-либо прежде, - отметила главный операционный директор Atlas VPN Рэйчел Уэлч. Теперь хакерам даже не нужны продвинутые навыки программирования, поскольку они могут приобрести готовый вредоносный код, адаптировать его к своим потребностям с помощью небольшого кода и представить совершенно новую угрозу.
»

В Atlas VPN также отметили, что пандемия COVID-19 сыграла важную роль в росте вредоносного ПО для macOS поскольку многие сотрудники, которых отправили домой на работу, начали использовать свои устройства Apple для решения задач.[4]

Apple уличили в невероятной по масштабам слежке за пользователями

Apple уличили в невероятной по масштабам слежке за пользователями. Об этом стало известно 16 ноября 2020 года.

Apple годами собирала IP-адреса пользователей и знала, какие приложения и когда запускались на MacBook. Проблему обнаружили в macOS Big Sur, но позже выяснилось, что она берет свое начало в macOS Mojave двухлетней давности. Кроме того, ее фирменные программы научились обходить брандмауэры и VPN, и пользователь никак не может на это повлиять.

По данным специалиста в области информационной безопасности Джеффри Пола (Jeffrey Paul), Apple следит чуть ли не за каждым действием пользователя, выполняемым им на компьютере под управлением macOS. Система отправляет на серверы компании специальные идентификаторы каждой программы, которую запускает владелец ПК, притом делает она это по обычному протоколу HTTP, даже не HTTPS.

Система может пересылать Apple и другие данные – дату и время открытия программ, IP-адрес компьютера и др., и уже только эти данные позволяют при необходимости вычислить местоположение каждого конкретного пользователя.

Джеффри Пол копнул еще глубже и выяснил, что за пользователями в той или иной степени следят все последние версии macOS, начиная с 10.14 Mojave, а она вышла еще в сентябре 2018 г. Другими словами, Apple собирает пользовательские данные на протяжении более двух лет.

Сбор и отправку информации macOS ведет в фоновом режиме, так что пользователь ничего не замечает. За шпионаж отвечает служба Gatekeeper, и проблема, по словам Джеффри Пола, заключается еще и в том, что ее никак нельзя заблокировать. Служба обходит брандмауэры и VPN, отсылая Apple реальные IP-адреса.

«
Apple будет знать, когда вы запустили на своем Mac безопасный браузер Tor или открыли Adobe Premiere. Она будет в курсе, дома вы или на работе, и она обязательно узнает, что вы подключились к Wi-Fi в отеле в другом городе, – говорит эксперт.
»

Функция обхода VPN и фаерволлов появилась во многих штатных приложениях macOS Big Sur еще до релиза ее финальной версии. Об этом в конце октября 2020 г. сообщил в своем Twitter бета-тестер Maxwell, и в тот же день идентичную информацию опубликовал ИБ-эксперт Патрик Уордл (Patrick Wardle). По его словам, трафик приложения Mac Store остался незамеченным для установленного на его ПК брандмауэра, словно его и вовсе не было.

Портал The Next Web пишет, что бета-тестеры и ИБ-специалисты питали надежду на устранение этого, по их мнению, «недочета», к релизу стабильной версии Big Sur. Тем не менее, этого не произошло, и теперь злоумышленники могут воспользоваться этой брешью для отправки личных данных пользователей на нужные им удаленные серверы.

На ноябрь 2020 года материала Apple признала существование у ее штатных приложений для macOS «сверхспособности» по обходу фаерволлов и VPN. В то же время она не уточнила, «баг» это или «фича» и не сообщила, зачем ей это.

The Next Web пишет, что у Apple может быть как минимум две причины для этого. Обход VPN позволяет ей более точно отслеживать местоположение пользователей для предоставления им более актуальной информации, в том числе и по вопросам лицензирования и использования того или иного ПО, в зависимости от места их дислокации. Кроме того, Apple может не желать, чтобы трафик именно ее программ шел через VPN-сервисы. Однако истинные причины подобного отношения компании к приватности своих пользователей пока остаются загадкой.

Apple поспешила ответить на претензии ИБ-специалистов и бета-тестестеров. Она заверила, что не собирает пользовательские данные, а IP-адреса сразу же удаляет из своих логов. Зачем в итоге ей нужны эти IP, она так и не пояснила.

Зато компания сообщила, что в будущем планирует повысить безопасность Big Sur несколькими способами. Один из них – это предоставление пользователю права блокировать работу шпионского приложения Gatekeeper. Как скоро это произойдет, неизвестно[5].

Компьютеры Apple заражают вирусами в 2 раза чаще Windows-систем. Итоги года

В середине февраля 2020 года компания Malwarebytes, развивающая решения для защиты и восстановления программного обеспечения, представила ежегодный отчет по вредоносному софту.

Согласно исследованию, киберугрозы для компьютеров Apple впервые стали расти быстрее по сравнению с Windows-системами. Эксперты обнаружили, что устройства на macOS заражают вирусами в 2 раза чаще Windows-систем. В целом вирусы стали поражать Mac-системы более чем на 400% чаще, чем в 2018 году.

Эксперты обнаружили, что устройства на macOS заражают вирусами в 2 раза чаще Windows-систем

Кроме того, Malwarebytes отметила, что киберпреступники выбирают бизнес-цели с диверсификацией типов угроз и стратегий атак. В 2019 году количество кибератак на различные организации во всем мире выросло на 13% и составило около 9,6 млн атак.

В 2019 хакеры вернулись к троянам-ботнетам Emotet и TrickBot, а также к вирусам-вымогателям, таким как Ryuk, Sodinokibi и Phobos. В 2019 году Emotet стал второй по значимости угрозой для бизнеса, а частота обнаружения TrickBot выросла на 52% в годовом исчислении. Но самый высокий рост среди кибератак отмечался у новых семейств вирусов-вымогателей: Ryuk стали выявлять на 543% чаще, чем в 2018 году, а количество кибератак, связанных с Sodinokibi, увеличилось на 820% с момента его появления в мае 2019 г.

Кроме того, в 2019 году системы накрыло волной новых хакерских инструментов и блокировщиков ключей. Особой проблемой стало рекламное ПО на устройствах Windows, Mac и Android - хакеры активно применяют агрессивные методы для показа рекламы, взлома браузеров и перенаправления веб-трафика. Распространение рекламного ПО выросло на 13% по сравнению с 2018 годом в потребительском секторе и на 463% в бизнес-секторе.

Также одной из основных угроз в 2019 году стали скиммеры кредитных карт, или Magecart. Malwarebytes прогнозирует, что деятельность Magecart продолжится в 2020 году благодаря росту числа платформ электронной коммерции.[6]

2019

Обнаружение уязвимости в почтовом клиенте Apple Mail, позволяющей читать чужие письма

10 ноября 2019 года стало известно о том, что IT-специалист Боб Гендлер (Bob Gendler) обнаружил недоработку в почтовом клиенте Apple Mail в macOS, которая позволяет видеть электронные письма в файле базы данных в незашифрованном виде.

Как сообщалось, Гендлер выявил уязвимость, когда пытался выяснить, как macOS и Siri предлагают информацию пользователям. В ходе анализа он обнаружил процесс под названием suggestd, запущенный системным процессом LaunchAgent com.apple.suggestd, а также каталог Suggestions в папке «Библиотека», содержащий большое количество файлов, в том числе файлы баз данных. В этих базах хранится информация от приложения «Почта» и других программ, используемая для улучшения механизма предложений macOS и Siri.

«
Я обнаружил, что файл базы данных snippets.db в папке Suggestions содержал мои электронные письма. Более того, моя почта, зашифрованная по стандарту S/MIME, содержится в совершенно незашифрованном виде. Даже если Siri отключена на Мас, сообщения все равно хранятся незашифрованными.

рассказал Гендлер (Bob Gendler), IT-специалист
»

Он также обнаружил базу данных entities.db, содержащую информацию об именах, номерах телефонов и адресах электронной почты всех, с кем контактировал пользователь.

Как отмечается, проблема касается исключительно пользователей, отправляющих письма через Apple Mail с использованием шифрования в приложении и не применяющих шифрование по технологии FileVault непосредственно в macOS. Таким образом, получив доступ к файловому хранилищу и базе данных, злоумышленник может увидеть любые письма в незашифрованном текстовом формате.

Специалист проинформировал Apple о проблеме еще 29 июля 2019 года, однако на ноябрь 2019 года уязвимость все еще остается актуальной. Компания пообещала устранить проблему в будущем обновлении для macOS, однако конкретные сроки выпуска исправления не указала.[7]

Обнаружен бэкдор, позволяющий загружать и исполнять вредоносный код на языке Python

8 мая 2019 года компания «Доктор Веб», что ее специалисты обнаружили угрозу для операционной системы macOS, позволяющую загружать и исполнять на устройстве пользователя любой код на языке Python. Кроме того, сайты, распространяющие это вредоносное ПО, также заражают опасным шпионским троянцем пользователей ОС Windows.

Данная угроза для устройств под управлением macOS была обнаружена специалистами 29 апреля. Это вредоносное ПО получило название Mac.BackDoor.Siggen.20 и представляет собой бэкдор, позволяющий загружать с удаленного сервера вредоносный код и исполнять его.

Mac.BackDoor.Siggen.20 попадает на устройства через сайты, принадлежащие его разработчикам. Один такой ресурс оформлен как сайт-визитка с портфолио несуществующего человека, а второй замаскирован под страницу с приложением WhatsApp.

Mac.BackDoor.Siggen.20
Mac.BackDoor.Siggen.20

При посещении этих ресурсов встроенный код определяет операционную систему пользователя и в зависимости от нее загружает бэкдор или троянца. Если посетитель использует macOS, его устройство заражается Mac.BackDoor.Siggen.20, а на устройства с ОС Windows загружается BackDoor.Wirenet.517 (NetWire). Последнее является давно известным RAT-троянцем, с помощью которого хакеры могут удаленно управлять компьютером жертвы, включая использование камеры и микрофона на устройстве. Кроме того, распространяемый RAT-троянец имеет действительную цифровую подпись.

ЭЦП

По данным Dr.Web, сайт, распространяющий Mac.BackDoor.Siggen.20 под видом приложения WhatsApp, открывали около 300 посетителей с уникальными IP адресами. Вредоносный ресурс работает с 24.03.2019 и пока не использовался хакерами в масштабных кампаниях. Тем не менее специалисты «Доктор Веб» рекомендуют проявлять осторожность и вовремя обновлять антивирус. На май 2019 года все компоненты Mac.BackDoor.Siggen.20 успешно детектируются только продуктами Dr.Web.

2018

Закрыта уязвимость в прошивке персональных компьютеров

Компания Apple 14 июня 2018 года объявила о выпуске обновления для macOS High Sierra 10.13.4, которое устраняет уязвимость в прошивке персональных компьютеров (CVE-2018-4251), обнаруженную экспертами Positive Technologies Максимом Горячим и Марком Ермоловым. Подробная информация об этом представлена на сайте технической поддержки Apple.

«
Уязвимость позволяет злоумышленнику с правами администратора получить несанкционированный доступ к критически важным частям прошивки, записать туда уязвимую версию Intel ME и через ее эксплуатацию тайно закрепиться на устройстве. В дальнейшем он сможет получить полный контроль над компьютером и осуществлять шпионскую деятельность, без малейшей вероятности быть обнаруженным, — рассказал Максим Горячий.
»

Intel ME имеет специальный режим работы — так называемый Manufacturing Mode, который предназначен для использования исключительно производителями материнских плат. Данный режим предоставляет дополнительные возможности, которые может использовать злоумышленник.

Находясь в режиме Manufacturing Mode, Intel ME позволяет выполнять специальную команду, после чего ME-регион становится доступным на запись через встроенный в материнскую плату SPI-контроллер. Имея возможность запускать код на атакуемой системе и отправлять команды в Intel ME, злоумышленник может перезаписывать прошивку Intel ME, в том числе на версию, уязвимую для CVE-2017-5705, CVE-2017-5706 и CVE-2017-5707, и таким образом выполнять произвольный код на Intel ME даже в системах с установленным патчем.

Оказалось, что в MacBook этот режим также включен. Хотя в самой прошивке предусмотрена дополнительная защита от атаки на перезапись регионов SPI Flash (в случае если доступ к какому-либо региону открыт, прошивка не позволяет загрузить ОС), исследователи обнаружили недокументированную команду, которая перезагружает Intel ME без перезагрузки основной системы, что делало возможным обход данной защиты. Стоит отметить, что похожую атаку можно провести не только на компьютерах фирмы Apple.

Positive Technologies разработали специальную утилиту, позволяющую проверить статус режима Manufacturing Mode. Если результат проверки показывает, что режим включен, в Positive Technologies рекомендуют обратиться к производителю компьютера для получения инструкций по его выключению. Утилита предназначена для ОС Windows и Linux, поскольку пользователям компьютеров Apple достаточно установить указанное выше обновление.

Уязвимые чипсеты Intel используются во всем мире, от домашних и рабочих ноутбуков до корпоративных серверов, отметили в Positive Technologies. Ранее выпущенное Intel обновление не исключало возможность эксплуатации уязвимостей CVE-2017-5705, CVE-2017-5706 и CVE-2017-5707, так как при наличии у атакующего доступа на запись к ME-региону он всегда может записать уязвимую версию МЕ и проэксплуатировать уязвимость в ней.

Уязвимость, позволяющая менять настройки без пароля

В январе 2017 года в операционной системе macOS нашли уязвимость, позволяющую изменять настройки без пароля. Любой желающий, который получил доступ к компьютеру, может попасть в меню настроек App Store. Причем знать чужие логин и пароль для этого не нужно.

Баг обнаружили исследователи Open Radar. Они поделились с тем, как можно осуществить «взлом» в версии macOS High Sierra 10.13.2: зайти в системные настройки, выбрать раздел App Store, нажать на пиктограмму замка для разблокировки, ввести свое имя пользователя и любой пароль, нажать на кнопку разблокировки.

Настройки App Store

Такая последовательность позволяет получить доступ к настройкам App Store, в том числе внести изменения в систему обновлений macOS и приложений, а также снизить безопасность операционной системы. При должных навыках злоумышленники могут получить контроль над ПК.

По словам специалистов Open Radar, уязвимость отсутствует в версиях macOS Sierra 10.12.6 и ниже. К 11 января 2018 года наиболее свежей модификацией ОС является macOS 10.13.2.

Сообщение об уязвимости, которая позволяет менять настройки без пароля, появилось на сайте Open Radar 8 января 2018 года. В тот же день Apple выпустила обновление macOS 10.13.2 (17C205) для защиты от возможного похищения данных через уязвимость в процессорах Intel. Но проблему с паролем в этом обновлении не устранили.

Скорее всего, найденный недостаток компьютерной платформы будет устранен в релизе 10.13.3, однако в Apple воздерживаются от комментариев.

До выхода апдейта пользователям рекомендуется использовать аккаунты без прав администратора, в которых этой проблемы нет.

В ноябре 2017 года стало известно о более серьезной уязвимости в macOS. Речь идет о связанном с вводом паролей баге, при помощи которого можно было получать доступ к системе с правами администратора. Apple исправила эту ошибку.[8]

2017: Вирус FruitFly

В январе 2017 года антивирусная компания Malwarebytes обнаружила[9] вирус для компьютеров Mac, что большая редкость — продукция Apple считается гораздо более защищенной, чем Windows или Android. Вирус нашли на четырех компьютерах в биомедицинских исследовательских центрах. Исследователи отмечали, что в коде вируса (его назвали FruitFly — «плодовая мушка») содержатся отсылки к старым версиям операционной системы OS X и библиотекам, не обновлявшимся с конца 90-х. Можно предположить, что вредоносная программа существовала как минимум с 2014 года — и ее никто не замечал[10].

В отчете Malwarebytes говорилось, что одноименный антивирус теперь умеет находить вирус, а Apple выпустила обновление для защиты от его дальнейшего распространения. Но через несколько месяцев бывший хакер Агентства национальной безопасности США Патрик Уордл наткнулся на еще один экземпляр такого вируса. FruitFly 2, по его словам, не определялся ни одним антивирусом, мог быть создан еще раньше — порядка пяти или даже десяти лет назад — и успел заразить как минимум несколько сотен компьютеров, в том числе принадлежащих частным лицам.

Судя по всему, главное предназначение вируса — шпионить за действиями пользователей. Он может «подглядывать» через вебкамеру, делать скриншоты экрана, регистрировать нажатия на кнопки клавиатуры. Программа также умеет перехватывать управление курсором мыши и клавиатурой и предупреждать хакеров, когда владелец компьютера возвращается к работе.

В вирусе была заложена возможность отправлять данные своим создателям. При этом в коде было прописано несколько альтернативных доменных имен на случай, если адрес основного сервера окажется недоступен. Уордл обнаружил, что запасные домены были свободны, зарегистрировал их и запустил вирус на виртуальной машине.

После этого произошло то, чего исследователь не ожидал: к зарегистрированным им доменам подключились около 400 компьютеров, зараженных вирусом. Уордл мог собрать информацию с этих компьютеров или перехватить их управление, но вместо этого он обратился в ФБР. Ведомство ведет расследование, но никаких деталей не раскрывает. Apple также не комментирует информацию о вирусе.

Исследователи не смогли найти следов создателей FruitFly и не понимают, кому он мог быть выгоден. Он недостаточно сложный, чтобы заподозрить подконтрольных властям хакеров; он не пытается красть пароли и данные кредитных карт пользователей, чтобы быть интересным для преступников. Как вирус оказывается на компьютерах жертв, тоже неизвестно.

2015: Вирус-буткит Thunderstrike

В начале 2015 года появился новый вирус-буткит Thunderstrike. Он вживлялся в систему BIOS и захватывал под свой контроль весь компьютер. Даже если пользователь удалял ОС, вирус при этом оставался нетронутым. Лечения от вируса нет до сих пор. Поэтому, лучше защитить свой компьютер заранее.

Далее разработчики выпустили модифицированную версию вируса Thunderstrike 2. Этот вирус распространялся любым способом, в том числе через почту интернет или Bluetooth. Лечению компьютер не подлежит. Единственный способ избавления от вируса перепрограммирование чипа.

2014: OS X Yosemite следит за пользователями

22 октября 2014 года стало известно о передаче новой операционной системой Apple OS X 10.10 Yosemite в Apple поисковых запросов, которые пользователь вводит в функции Spotlight, вместе с информацией о его текущем местоположении.

Право Apple на эти действия прописано в лицензионном соглашении на Yosemite, которое пользователь принимает при установке ОС.

Spotlight — встроенная в OS X функция поиска, впервые появившаяся в OS X Tiger в 2005 году. До Yosemite она позволяла выполнять локальный поиск: файлов, закладок, посещенных сайтов из истории веб-серфинга. В новой версии число источников данных существенно расширено. Теперь функция дополнительно отображает контент из App Store и iTunes Store, заголовки новостей из интернета, близлежащие организации и заведения на карте.

Все запросы, вводимые пользователем в Spotlight, отправляются в Apple. Компания получает и сведения о выбранных пользователем подсказках, которые функция предлагает по мере ввода запроса. Помимо этого, общеупотребимые слова и словосочетания, полученные Apple от пользователя, направляются в поисковую систему Microsoft Bing.

В Apple уверяют, что результаты поиска на локальном диске Mac, выдаваемые функцией Spotlight, в Apple не отправляются, а также что Microsoft не хранит данные, получаемые от Apple. Компании утверждает о шифровании всех запросов, а уникальный идентификатор, к которому они крепятся, обновляется каждые 15 минут.

Возможность отключить отправку данных имеется - необходимо перейти в настройки Spotlight в «Системных настройках» OS X и снять отметки с пунктов «Предложения Spotlight» и «Поиск в интернете с помощью Bing». Если пользователь не желает отправки данных о его местоположении, необходимо из панели «Конфиденциальность» в «Системных настройках» и в разделе «Службы геолокации» снять отметку с пункта «Предложения Spotlight».

Тем не менее Apple продолжит определять приблизительное местоположение с помощью IP-адреса.

Поисковыми запросами и подсказками с Apple делится браузер Safari, игнорируя параметры «Системных настроек». Для отключения отправки в настройках браузера, на вкладке «Поиск» требуется убрать отметку с пункта «Предложения Spotlight».

Авторство находки принадлежит Лэндону Фулеру (Landon Fuller), разработчику и генеральному директору нью-йоркской компании Plausible Labs.

2012: Вирус BackDoor Flashback заразил более 650 тысяч Mac

В 2012 году появился вирус, который заразил более 650 тысяч Mac. Это самая крупная атака на «яблочную» продукцию. Вирус BackDoor Flashback проникал через уязвимость в Java, через которую хакеры создавали ботнеты.

2011

Вирус BlackHole RAT

В 2011 году появился вирус BlackHole RAT, позволявший удалённо управлять компьютером Mac. Пользователи начали задумываться, как защититься от данного вредоноса и хакеры начали им подсказывать, предлагая скачать программу Mac Defender, которая на самом деле похищала крединые данные пользователя.

Обновление Mac OS X отключает компьютеры

14 октября 2011 года масштабное обновление безопасности, выпущенное Apple, устраняет более 70 уязвимостей операционной системы Mac, но его установка может привести к отказу загрузки компьютера, сообщают эксперты.

Вместе с новой версией своей новой ОС, Apple выпустила большое обновление безопасности для ОС Mac OS X, однако, согласно некоторым сообщениям, установка патчей может привести компьютер в неработоспособное состояние – он перестает загружаться, сообщает издание InfoWorld со ссылкой на достоверные источники.

Это обновление устраняет более 70 уязвимостей в основных компонентах операционной системы для компьютеров Mac, а также продуктах сторонних производителей, идущих в комплекте. Многим из слабых мест присвоен высочайший рейтинг опасности: они могут допустить выполнение любого вредоносного кода в результате направленной атаки с применением удаленного доступа.

Патчи содержат корректировки двух проблемных вопросов безопасности в ядре ОС Mac X, по одной в CoreStorage, два в CoreMedia, помимо этого еще и в CoreProcesses, CoreFoundation, CFNetwork, и даже в брандмауэре.

Одновременно с этим обновлением Apple осуществила согласование настроек системы, обеспечивающих важный функционал безопасности, с множеством сторонних программных пакетов, таких как Apache HTTPD, BIND, PHP, Tomcat, Mailmain, Python или libpng.

Центральное приложение в экосистеме Apple - QuickTime, в этом выпуске также подверглось обновлению с целью устранения 11 разнообразных уязвимостей. Тем не менее, некоторые из них имеют значение лишь для операционной системы X Snow Leopard.

Несмотря на все преимущества, включенные в обновление, пользователям необходимо тщательно взвесить - следует ли его устанавливать. Поскольку, по некоторым данным, его установка может привести к серьезным проблемам.

Исследователь в области безопасности систем Драгос Руию (Dragos Ruiu) в четверг предупредил в твиттере, что обновление системы безопасности операционной системы Apple при загрузке создает критическую ошибку в ядре MacBook. Позже он подтвердил, что и другие пользователи сталкиваются с подобными проблемами, особенно в системах Lion/Snow в конфигурации с двойной загрузкой. «Если у вас два или более раздела ОС на MBP [MacBook Pro], они разрушатся», - отметил эксперт.

Между тем, старший технический консультант компании Sophos Грэм Клули (Graham Cluley) сообщил об ошибках установки недавно выпущенной Apple мобильной операционной системы iOS 5. Он не подтвердил наличие проблем с загрузкой ОС Mac, но посоветовал пользователям отложить обновление, если, по их мнению, в результате установки могут возникнуть сложности. «Я советую связаться с технической поддержкой Apple и узнать, имеется ли у них решение проблемы. Если есть подозрения, что это может затронуть пользователя, может быть, стоит повременить с установкой обновления безопасности, пока Apple не сообщит об устранении ошибок», - сказал Клули.

Новая ОС Mac X v10.7.2 Lion содержит большинство патчей Security Update 2011-006 и имеются сведения, что она также создает трудности в установке. На форумах технической поддержки Apple начали появляться записи пользователей о том, что «После обновления до 10.7.2 Lion, система теперь зависает при загрузке» или «Mac вынудил меня перезагрузиться после обновления до 10.7.2».

Один из пользователей предполагает, что сброс (reset) PRAM (параметрическое оперативное запоминающее устройство) после обновления может разрешить эту проблему. Apple не комментирует ситуацию.

2007: Вирус BadBunny и RSPlug-A

В 2007 году на дисплее Mac, Linux и Windows начала появляться пошлая фотография мужчины, переодетого в костюм кролика и девушки. Фотографию не прилагаем, можете найти её сами через любой поисковик. Этот вирус получил название BadBunny.

В этом же году появился первый вирус мошенник RSPlug-A. Принцип его работы был таков — пользователь скачивал плагин, якобы для просмотра видео, на сайте «для взрослых». В дальнейшем вредоносный код менял настройки DNS и перенаправлял его на фишинговые сайты.

2006: Вирус Leap-A

В 2006 году через I-Chat на компьютеры Mac начал проникать вирус Leap-A. Он попадал в систему и получал информацию о контактах и системных файлах.

2004: Вирус Renepo

В 2004 году появился вирус Renepo, который заражал Mac OS X. Это первый вирус, который распространялся по сети. Он отключал систему защиты компьютера, устанавливал на компьютер утилиты для взлома и похищения паролей, а также менял файлы.

1995-1996: Вирусы Concept, Laroux, AutoStart 9805 и Sevendust 666

В 1996 году в Гонконге был обнаружен вирус AutoStart 9805. Это был первый полноценный червь, который распространялся через CD-ROM. Он изменял названия файлов и всячески проявлял свою активность. Также он копировал себя во все разделы жёсткого диска.

В 1995-1996 годах появились два вируса с названиями Concept и Laroux. Не смотря на то, что они не приносили особого вреда, по аналогии с ними были созданы тысячи вирусов, которые заражали файлы MS Office.

Также в 1996 году появился один из первых вирусов, который сильно потрепал нервы пользователей Mac Sevendust 666. Вирус полностью уничтожал все файлы на жестком диске, оставляя в папке Extensions файл под названием «666».

1988: Вирус HyperAvenger

В 1988 году впервые дал о себе знать вирус, получивший название HyperAvenger. Этот червь выводил на экраны пользователей информацию про кандидата в президенты США Майкла Дукаскиса. Второе появление вируса было замечено в Бельгии и Голландии в 1991 году. Тогда на компьютерах, где по умолчанию был установлен немецкий язык, выходило сообщение `Hey,what are you doing? Don’t panic`, а из колонок раздавался немецкая народная музыка.

1982: Вирус ElkCloner и nVIR

В 1982 году появился вирус, который называется ElkCloner. Создал его 15-летний школьник, а потом распространил на компьютеры Apple II. При каждой 50-й загрузке систем на экран выводилось небольшое стихотворение. Не смотря на то, что червь не приносил особого вреда, его можно назвать самым первым вирусом, который заразил Mac.

Самым первым вредоносным вирусом для Mac стал вирус nVIR. Распространялся он от компьютера к компьютеру при помощи дискет. Данный вирус не позволял пользователю открывать приложения и создавал сбои в системе. При этом из динамиков компьютера раздавался писк. А на мониторе вылезало диалоговое окно с надписью `Don’t panic!`.

См. также

Примечания