Ondrejs Holcmans Mac datoriem uzbrūk jauna ļaunprātīga programmatūra, kas bez lietotāja ziņas uzņem ekrānuzņēmumus un pēc tam augšupielādē failus apšaubāmos serveros. Vīruss slēpjas zem lietojumprogrammas macs.app. Tomēr pagaidām tas nav īpaši izplatīts.
Jauna veida draudi Apple datoru lietotājiem tika konstatēti viena no Cilvēktiesību fonda ik gadu Oslo rīkotās starptautiskās konferences par cilvēktiesībām Oslo brīvības foruma dalībnieka Mac datorā.
Kad instalējat macs.app, programma darbojas fonā un klusi uzņem ekrānuzņēmumus. Katrs uzņemtais attēls tiek saglabāts mapē Mac lietotne savā mājas direktorijā, no kurienes tiek augšupielādēti faili securitytable.org a docsforum.inf. Neviens domēns nav pieejams.
[do action=”tip”]Pārbaudiet, vai mājas direktorijā nav mapes Mac lietotne (skatiet attēlu).[/do]
Macs.app var darboties jūsu Mac datorā, jo atšķirībā no citas ļaunprogrammatūras tai ir piešķirts funkcionējošs Apple izstrādātāja ID, kas nozīmē, ka tā ir pārsniegusi Gatekeeper aizsardzību. Identifikācijas numurs pieder noteiktam Rajenderam Kumaram, un Apple ir iespēja iesaldēt viņa tiesības, kas, iespējams, arī padarītu vīrusa neiespējamu darboties. Tātad mēs varam sagaidīt agrīnu iejaukšanos no Kalifornijas uzņēmuma.
Ir labi zināt. Bet kāpēc man tas būtu jāinstalē (tā ir .app vai instalācijas pakotne)?
F-secure pašlaik izmeklē ļaunprogrammatūru, lai labāk noteiktu tās izcelsmi, instalēšanas veidus un darbības veidu.
Neesmu noskaidrojis, kādā formā tas ir tieši lejupielādēts, bet, kad tas ir datorā, tas sākas automātiski, kad palaižat datoru. Tomēr es neredzu, vai tas ir jāinstalē.
Loģiski, ka lietotājam tas ir jāpalaiž, jautājums tikai par to, vai tas ir "sakomplektēts" ar kādu aplikāciju, vai legālu vai uzlauztu, vai arī pienāk e-pasts "Nude images of , run me now" un lietotājs to palaiž.
Tā kā izskatās primitīvi (to var ļoti vienkārši uzrakstīt AppleScript) un tā kā raksta uz lietotāja mapi, tad nevajadzētu pat admin paroli, bet es tikai spriežu pēc attēla un rakstā esošās informācijas, tas var būt savādāk :)
Ja tas sākas pēc palaišanas, tad es teiktu, ka tai ir jāpabeidz instalēšana (pat dēmonam vai pašai lietojumprogrammai). Lai nu kā, kā raksta DJManas, tas ieraksta to lietotāja mapē precīzi, lai nebūtu vajadzīga parole. Nesaprotu, kāpēc tā raksta "MacApp" nevis ".MacApp" - tādā veidā neviens, kuram nav redzami slēptie faili (tātad 90% cilvēku), nepamanītu.
Es uzskatu par lielāku problēmu, ka kāds izmantoja savu izstrādātāja ID, lai tiktu garām GateKeeper — šeit Apple ir ļoti ātri jāreaģē un jāaizliedz šīs personas uz visiem laikiem. Varbūt kaut kur dziļi paslēptu to varētu redzēt uz kādas "ziņot kā surogātpasta/vīrusa" funkcijas, lai Apple nekavējoties jāsāk ar to nodarboties katru reizi, kad saņem vairāk par 1 šādu paziņojumu par aplikāciju.
Atzīšos, ka man nav sava oficiālā izstrādātāja ID, bet domāju, ka pietiek izveidot e-pastu, samaksāt par dalību, kaut vai 900,- gadā, un lietotājs ir "dzīvajā" un var spēlēt ( ja viņš to neieliek tieši AppStore), kas var radīt gandarījumu, bet es nezinu, kā tas precīzi darbojas, kāds, lūdzu, izlabojiet mani.
No otras puses, lietotājiem var būt izslēgts GateKeeper, jo viņi instalē lietas no tīmekļa, un es atzīšos, ka arī es to izslēdzu, jo tas neļāva man instalēt lietotni, ko parasti izmantoju, šķiet, ka tā bija OnyX. toreiz (svaigi instalēta 10.8), un tas neatklāja, nez vai viņi jau ir oficiāli izstrādātāji un es varu to ieslēgt…
Es to atspējoju arī savai sievai, jo izstrādāju pāris “lietotnes/skriptus/logrīkus”, ko izmantojam tikai viņa un es, un viņa neļāva man to instalēt savā OSX...
Es iesaku ieslēgt Gatekeeper un, ja vēlaties instalēt lietojumprogrammu, kas nav parakstīta, vienkārši ar peles labo pogu noklikšķiniet uz pakotnes/lietotnes un noklikšķiniet uz Atvērt. Pēc tam šajā gadījumā ir iespēja apiet Vārtsargu. Daru pats un man šķiet drošāk - varu instalēt arī neparakstītas aplikācijas, bet visam pārējam Gatekeeper seko līdzi.
Paldies, es to nezināju