[datensicherheit.de, 17.06.2021] Check Point Research (CPR), die Threat Intelligence Abteilung von Check Point® Software Technologies Ltd.,  warnt Unternehmen und Anwender davor, die Sicherheitsrisiken auf macOS-Computern nicht zu unterschätzen. Jede Woche entdeckt das Forschungsteam Hunderte von Schadcode-Samples speziell für macOS.

Adware die größte Bedrohung für macOS-Computer

Die wichtigste Bedrohung für macOS-Computer ist Adware, also bösartiger Code der versucht unerwünschte Werbung anzuzeigen. Das Erkennen und Deinstallieren von Adware gestaltet sich oft schwierig. Adware versucht, Geräte unbemerkt zu infiltrieren und versteckt sich vor der eingesetzten Antivirensoftware. Diese Art von Malware kann auch wertvolle Daten wie Betriebssysteminformationen, den Standort des Geräts usw. sammeln und dann an einen C&C-Server versenden.

Die am weitesten verbreitete Malware für macOS-Geräte in Unternehmen ist die Pirrit Adware, die seit 2014 eine Windows-Adware-Variante ist. Pirrit wurde erstmals 2016 auf macOS-Geräten entdeckt. Sie konzentriert sich hauptsächlich auf die Anzeige unerwünschter Werbeinhalte, könnte aber aufgrund seiner Herkunft auch die Kontrolle über ein infiziertes Gerät übernehmen oder sensible Informationen stehlen.

Obwohl die Bedrohungszahlen nicht so dramatisch sind wie bei Windows, muss die Sicherheit unabhängig von Gerät und Betriebssystem betont werden. Jeder erfolgreiche Angriff kann schwerwiegende Folgen haben, insbesondere in einer Unternehmensumgebung. Darüber hinaus können auch scheinbar schwächere Bedrohungen dazu genutzt werden, ein System mit zerstörerischerer Malware zu infizieren. Langfristig sehen wir eine Zunahme von Bedrohungen und Angriffen auf Geräte mit Apple-Betriebssystemen sowie eine Zunahme von Angriffen auf mobile Geräte, bei denen die Risiken ebenfalls unterschätzt werden.

Hacker reagieren flexibel

Eine fortschrittliche Sicherheitslösung, die den Schwerpunkt auf Prävention legt, sollte ein grundlegender und integraler Bestandteil jedes Geräts sein, unabhängig vom System. Anwender sind nicht nur durch herkömmliche Viren und Malware gefährdet, auch Phishing und andere Social-Engineering-Bedrohungen werden immer häufiger. Die Coronavirus-Epidemie hat auch gezeigt, wie flexibel Hacker auf aktuelle Ereignisse reagieren und z. B. verschiedene betrügerische Websites erstellen können, die das widerspiegeln, wonach Benutzer gerade suchen, seien es Coronavirus-Karten, Support- und Anreizpakete oder Informationen über Tests und Impfstoffe.

Weitere Informationen zum Thema:

datensicherheit.de, 08.06.2021
Fastly-Cloud-Server: Kurzkommentar von Check Point zu Ausfällen

[datensicherheit.de, 16.05.2019] Ein internationales Forscherteam unter Beteiligung der TU Darmstadt hat nach deren Angaben Sicherheits- und Privatheitsprobleme in „iOS“ und „macOS“ entdeckt. Apple habe mittlerweile Updates zur Behebung veröffentlicht.

Wenn beim Einchecken der Smartphone-Bildschirm dunkel bleibt

Die TU Darmstadt beschreibt folgendes Szenario: Ein Passagier möchte mit seinem „iPhone“ zu einem Flug einchecken, doch der Bildschirm bleibt schwarz, während das Telefon ständig neu startet. Er ist damit nicht alleine: Alle Nutzer von Apple-Geräten in der Nähe haben dasselbe Problem. Was der Passagier eben nicht weiß: Als er in der Flughafenlounge Fotos und Firmenpräsentationen vom Mobiltelefon zu seinem „MacBook“ übertragen hat, konnte ein Angreifer diese mitlesen, den Standort nachverfolgen und diesen sogar mit dem Vornamen des Passagiers und einer Geräte-ID assoziieren.
Diese Schwachstellen wurden demnach von Forschern der TU Darmstadt und der Northeastern University Boston entdeckt. Gemeinsam mit dem Apple-Sicherheitsteam hätten die Forscher an der Behebung der Lücken gearbeitet. Sie empfehlen Nutzern von Apple-Geräten dringend, die soeben veröffentlichten Updates „iOS 12.3“ und „macOS 10.14.5“ zu installieren, um die Sicherheitsverbesserungen zu erhalten.

Per „AirDrop“ übertragene Dateien könnten abgefangen werden

Mehr als eine Milliarde Apple-Geräte seien prinzipiell von den Schwachstellen betroffen, da diese in einem gemeinsamen Kernbestandteil aller Apple-Betriebssysteme wie „iOS“ und „macOS“ verborgen seien – ein proprietäres Protokoll namens „Apple Wireless Direct Link“ (AWDL), über welches bisher nicht viel bekannt gewesen sei. Zahlreiche Sicherheits- und Privatheitsprobleme darin ermöglichten es einem Angreifer, Handynutzer zu orten, ihre Geräte abstürzen zu lassen, Kommunikation zu unterbinden und sensible Daten bei der Übermittlung per AirDrop abzufangen.
AWDL mache es möglich Nutzer zu verfolgen, da es die ID und den Gerätenamen preisgebe, der in vielen Fällen den Vornamen des Besitzers enthalte. Milan Stute, Forscher an der TU Darmstadt und im Nationalen Forschungszentrum für angewandte Cybersicherheit CRISP, erklärt: „Wir erforschen die Drahtlos-Funktionen von Apple seit 2017, um zu verstehen wie AWDL und die damit zusammenhängenden Dienste funktionieren. Zusätzlich zu den bereits erwähnten Privatheitsproblemen haben wir so auch einige Sicherheitsschwachstellen aufgedeckt.“ Das Forscherteam habe herausgefunden, wie per „AirDrop“ (auf AWDL aufbauender Apple-Dienst) übertragene Dateien abgefangen werden könnten. Der potenzielle Angreifer nutze aus, dass die Benutzeroberfläche auch nicht vertrauenswürdige Verbindungen anzeige. Mit einer solchen könne er eine sogenannte „man-in-the-middle“-Position erlangen und dadurch Dateien während der Übertragung abfangen oder modifizieren.

Wunsch nach größtmöglicher Funktionalität zu Lasten der Sicherheit

Um überhaupt an AWDL und „AirDrop“ forschen zu können, hätten die Wissenschaftler die Protokolle zuerst rekonstruieren und selbst implementieren müssen. Ihre Versionen haben sie nach eigenen Angaben als „Open Source Software“ veröffentlicht, um sie anderen Forschern zugänglich zu machen. Die zugehörige wissenschaftliche Veröffentlichung werde im August 2019 auf dem renommierten „USENIX Security Symposium 2019“ präsentiert.
Prof. Matthias Hollick, Forschungsgruppenleiter an der TU Darmstadt und am Nationalen Forschungszentrum für angewandte Cybersicherheit (CRISP), fasst die Problematik zusammen: „Apple ist eines der wenigen großen Technologie-Unternehmen, das die Sicherheit und Privatheit seiner Nutzer und die einfache Bedienbarkeit seiner Produkte in den Mittelpunkt stellt. Es wäre schön, wenn sich andere Tech-Riesen dem anschließen würden. Deswegen ist es nahezu ironisch, dass Apple der komplexe Aufbau eines seiner wichtigsten Drahtlosprotokolle zum Verhängnis wurde, das als Basis für die benutzerfreundlichen Features des Apple-Kosmos dient. In diesem Fall ging der Wunsch nach größtmöglicher Funktionalität zu Lasten der Sicherheit. Es wäre viel geholfen, wenn Hersteller sich auf einfache und offene Lösungen fokussieren.“

CRISP – einer der wichtigsten Forschungsstandorte für Cyber-Sicherheit weltweit

Die Wissenschaftsstadt Darmstadt ist mit der TU Darmstadt und dem Nationalen Forschungszentrum für angewandte Cybersicherheit (CRISP) nach eigenen Angaben einer der wichtigsten Forschungsstandorte für Cyber-Sicherheit weltweit. In CRISP forschen und entwickeln demnach über 450 Wissenschaftler an wichtigen Problemen und Fragen zum unmittelbaren Nutzen von Gesellschaft, Wirtschaft und Staat.
CRISP, eine Einrichtung der Fraunhofer-Gesellschaft für ihre beiden Darmstädter Institute SIT und IGD unter Beteiligung der Technischen Universität Darmstadt und der Hochschule Darmstadt, wird laut TU Darmstadt vom Bundesministerium für Bildung und Forschung (BMBF) und vom Hessischen Ministerium für Wissenschaft und Kunst (HMWK) gefördert.

Weitere Informationen zum Thema:

Open Wireless Link
Welcome to the Open Wireless Link (OWL) project

28th USENIX SECURITY SYMPOSIUM
A Billion Open Interfaces for Eve and Mallory: MitM, DoS, and Tracking Attacks on iOS and macOS Through Apple Wireless Direct Link

CRISP
Nationales Forschungszentrum für angewandte Cybersicherheit

datensicherheit.de, 03.02.2019
Neue Mac-Malware stiehlt Cookies von Kryptowährungsbörsen

datensicherheit.de, 22.11.2018
Apple-Betriebssysteme: Ransomware-Angriffe steigen um 500 Prozent an

datensicherheit.de, 28.05.2014
Feindliche Übernahme von Apple Geräten

[datensicherheit.de, 22.11.2018] Laut des Datto’s Global State of the Channel Ransomware Report 2018 haben 9 Prozent der weltweiten Manage Security Provider ein rasantes Wachstum von Angriffen auf das Betriebssystem MacOS festgestellt. Die Ergebnisse des Reports zeigen, dass Macs nicht mehr sicher sind. Doch nicht nur Ransomware, sondern auch Cryptominer wie Cointicker befallen neuerdings die PCs mit dem Apfel. Und auch Check Point konnte in seinem Global Threat Index für den Monat September 2018 eine Zunahme von Apple-Cryptominern um 400 Prozent feststellen. Allein von 2016 bis 2017 konnten die Sicherheitsforscher von Malwarebytes einen Anstieg bei Mac-Malware von 270 Prozent feststellen.

Bild: KnowBe4

Stu Sjouweman, CEO von KnowBe4

Es hat wohl jeder schon von dem einen oder anderen Apple-User gehört: „Ich verwende einen Mac – ich bekomme keine Viren oder sonstige Malware.“ Dasselbe wurde über iOS-Geräte gesagt, die über eine geschlossene Architektur verfügen. Zumindest teilweise waren die Aussagen vor einigen Jahren korrekt, denn in den Vorjahren waren die Entwickler von Malware bestrebt, den größtmöglichen Schaden anzurichten, und es war sinnvoller, das am häufigsten verwendete Business-Betriebssystem zu wählen.

Die Zeiten haben sich allerdings geändert: Heute liegt der Fokus der Cyberkriminellen auf gezielten Angriffen auf bestimmte Branchen und Unternehmen. Sie benutzen Social Engineering-Taktiken, um genügend Vertrauen bei den Nutzern und dadurch Zugang oder Informationen zu gewinnen, um Daten zu kopieren oder Geld zu erpressen. Und um dies zu erreichen, benötigen kriminelle Organisationen OS-spezifische Ransomware. Das bedeutet, dass mittlerweile auch Macs und iOS-Geräte Ziele der Angriffe sind.

Macs sind gefährdeter denn je

In der eingangs erwähnten Studie von Datto konnten wir eine Steigerung von 500 Prozent der Ransomware-Angriffe auf Apple-Betriebsysteme gegenüber dem Vorjahr verzeichnen. Die Zunahme zeigt, dass jedes Betriebssystem anfällig für Angriffe ist. Und während 9 Prozent vergleichsweise gering erscheint, sollte die Tatsache, dass nur 7,3 Prozent der weltweit genutzten Business PCs Macs sind, Aufschluss darüber geben, wie weit die Betriebssysteme von Apple wirklich verbreitet sind. Die meisten Unternehmen haben eine Gruppe von Benutzern, die Macs verwenden, in der Regel die kreativen Branchen, wie Marketing oder Kommunikation. Damit ist es also offiziell – alle Benutzer, unabhängig vom Betriebssystem, sind potenzielle Ziele von Ransomware.

Unternehmen mit einer mehrschichtigen Sicherheitsstrategie sind relativ gut auf Ransomware-Angriffe vorbereitet. Aber nach den Daten von Datto hatten 86 Prozent der Opfer einen Virenschutz, 65 Prozent E-Mail-/Spamfilter und 29 Prozent Popup-Blocker. Es scheint daher, dass es einen weiteren Teil des präventiven Schutzes gibt, der dringend angesprochen werden muss – den Benutzer selbst.

Fazit

Benutzer sind ein wichtiger Teil der Sicherheitsstrategie jedes Unternehmens. Mitarbeiter sollten wachsam bleiben und nach potenziellen Betrügereien, fragwürdigen E-Mails, fragwürdigen Websites usw. suchen. Dies geschieht am besten mit Security Awareness-Training in Verbindung mit Phishing-Tests, um die Benutzer zunächst über Bedrohungen, Betrügereien und Taktiken aufzuklären. Im nächsten Schritt gilt es, sie dann gezielt darauf zu testen, um zu sehen, ob sie Opfer von gefälschten Phishing-E-Mails werden. Dieser ganzheitliche Ansatz zur Erhöhung der Sicherheitslage versetzt die Benutzer in die Lage, eine Rolle für die IT-Sicherheit des Unternehmens zu spielen. Gleichzeitig schaffen sie eine Sicherheitskultur, die für eine höhere Sicherheit des Unternehmens für Phishing-Mails (mit darauffolgenden Ransomware-Attacken) im Allgemeinen sorgt.

Weitere Informationen zum Thema:

Datto
Datto’s Global State of the Channel Ransomware Report 2018

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten