Ondrej Holzman Maci arvuteid ründab uus pahavara, mis teeb kasutaja teadmata ekraanipilte ja laadib seejärel failid kahtlastesse serveritesse. Viirus peidab end rakenduse all macs.app. Praegu pole see aga kuigi laialt levinud.
Inimõiguste fondi poolt igal aastal Oslos korraldataval rahvusvahelisel inimõiguste konverentsil Oslo Freedom Forum ühe osaleja Macist leiti uut tüüpi oht Apple'i arvutikasutajatele.
Kui olete installinud macs.app, töötab rakendus taustal ja teeb vaikselt ekraanipilte. Iga jäädvustatud pilt salvestatakse kausta Maci rakendus oma kodukataloogis, kust failid üles laaditakse securitytable.org a docsforum.inf. Kumbki domeen pole saadaval.
[do action=”tip”]Kontrollige oma kodukataloogis kausta Maci rakendus (vt pilti).[/do]
Macs.app saab teie Macis töötada, kuna erinevalt muust pahavarast on sellele määratud töötav Apple Developer ID, mis tähendab, et see ületab Gatekeeperi kaitse. Identifitseerimisnumber kuulub teatud Rajender Kumarile ja Apple'il on võimalus tema õigused külmutada, mis tõenäoliselt muudaks ka viiruse toimimise võimatuks. Seega võime oodata California ettevõtte varajast sekkumist.
Hea on teada. Aga miks ma peaksin selle installima (kas see on .app või installipakett)?
F-secure uurib praegu pahavara, et teha paremini kindlaks selle päritolu, installimisviisid ja tööpõhimõte.
Ma ei ole uurinud, mis kujul see täpselt alla laaditakse, kuid kui see on arvutis, käivitub see arvuti käivitamisel automaatselt. Samas ma ei näe, kas seda oleks vaja installida.
Loogiliselt võttes peab kasutaja selle käivitama, küsimus on ainult selles, kas see on "komplektis" mõne rakendusega, kas legaalne või mõranenud või saabub selline e-kiri nagu "Asti pildid , käivitage mind kohe" ja kasutaja käivitab selle.
Kuna see näeb välja primitiivne (selle saab AppleScriptis väga lihtsalt kirjutada) ja kuna see kirjutab kasutaja kausta, siis ei peaks see isegi administraatori parooli vajama, aga ma lihtsalt otsustan pildi ja artiklis oleva info järgi, siis võib olla erinev :)
Kui see käivitub pärast käivitamist, siis ma ütleksin, et see peab installimise lõpetama (isegi deemon või rakendus ise). Igatahes, nagu DJManas kirjutab, kirjutab ta selle täpselt kasutaja kausta, et poleks vaja parooli. Ma ei saa aru, miks see kirjutab seda "MacAppis" ja mitte ".MacAppis" - nii ei märkaks keegi, kellel pole peidetud faile näha (nii 90% inimestest).
Suurema probleemina näen ma seda, et keegi kasutas GateKeeperist mööda saamiseks oma arendaja ID-d – siin peab Apple väga kiiresti reageerima ja need isikud igaveseks keelustama. Võib-olla näeksin seda mõne "spämmi/viirusena teatatava" funktsiooni peal, kuskil sügaval peidus, et Apple peaks kohe sellega tegelema hakkama iga kord, kui saab rohkem kui 1 sellise teate rakenduse kohta.
Tunnistan, et mul pole ametlikku arendaja ID-d, kuid arvan, et piisab meili seadistamisest, liikmemaksu tasumisest, kasvõi 900,- aastas ja kasutaja on "live" ja saab mängida ( kui ta seda otse AppStore'i ei pane), mis võib pakkuda rahulolu, aga ma ei tea täpselt, kuidas see töötab, palun keegi parandage mind.
Teisest küljest võib kasutajatel olla GateKeeper välja lülitatud, kuna nad installivad asju veebist, ja ma tunnistan, et lülitasin selle ka välja, kuna see ei lubanud mul installida rakendust, mida tavaliselt kasutan, see oli vist OnyX. toona (värskelt installitud 10.8) ja see ei tuvastanud, ma ei tea, kas nad on juba ametlikud arendajad ja ma saan selle sisse lülitada…
Samuti keelasin selle oma naise jaoks, kuna töötasin välja paar "rakendust/skripti/vidinat", mida ainult tema ja mina kasutame ning ta ei lubanud mul seda oma OSX-ile installida...
Soovitan Gatekeeper sisse lülitada ja kui soovid installida rakendust, mis pole allkirjastatud, siis lihtsalt paremklõpsake paketil/rakendusel ja klõpsake nuppu Ava. Sel juhul on võimalus Gatekeeperist mööda minna. Teen ise ja mulle tundub turvalisem - saan installida ka allkirjastamata rakendusi, aga Gatekeeper hoiab kõigel muul silma peal.
Aitäh, ma ei teadnud seda