Als Mac-Nutzer galt man in der Vergangenheit stets besser vor Viren und Malware geschützt als mit einem Windows-PC. Dies scheint sich nun jedoch langsam zu wandeln. Wie der Anti-Virensoftware Hersteller Malwarebytes berichtet,  So konnte der Anbieter im vergangenen Jahr erstmals mehr Angriffe auf Macs verzeichnen als auf Windows-Rechner, wie aus seinem "State of Malware Report" (PDF) hervorgeht. Zählte man im Jahr 2018 noch 4,8 potenzielle Gefahren für den Mac, waren es im vergangenen Jahr 11. Im Vergleich dazu kommt die Windows-Plattform lediglich auf 5,8 Gefahren. Allerdings muss man die Zahlen und vor allem den starken Anstieg differenziert betrachten, da sie auch aus der Tatsache entspringen, dass sich die Nutzerbasis von Malwarebytes für Mac stark erhöht hat. Dennoch überstieg die Zahl der Gefahren pro Endgerät für den Mac die für Windows im Durchschnitt deutlich.

Als Gründe für den neuen Trend nennt Malwarebytes die inzwischen größer werdende Verbreitung des Mac und die Tatsache, dass sich die Sicherheitsmaßnahmen in macOS nicht im selben Maße gegen Adware und PUPs ("Potentiell unerwünschte Programme") richten, wie sie dies gegen Malware und Viren tun. Auch diese beiden Arten von Gefahren wurden von Malwarebytes allerdings mitgezählt.

Vor allem Adware war im vergangenen Jahr mal wieder die häufigste potenzielle Gefahr unter Windows, Mac und Android. Während für Windows 24 Millionen Adware-Erkennungen gezählt wurden, waren es unter macOS 30 Millionen Stück. Hier kamen vor allem Vertreter der Adware-Familie namens "NewTab" zum Einsatz, die darauf abzielt, Suchanfragen auf Werbeseiten umzuleiten. Bei den PUPs sind vor allem sogenannte "Cleaning-Apps", wie beispielsweise MacKeeper, MacBooster, Advanced Mac Cleaner oder Mac Adware Cleaner zum Einsatz.

Alles in allem stieg zwar die bloße Anzahl der potentiellen Gefahren für den Mac an, diese stammen jedoch aus einem Bereich, der als nicht ganz so gefährlich angesehen wird, wie die meisten Gefahren, die nach wie vor unter Windows existieren. Das Interesse von Angreifern an der Mac-Plattform steigt jedoch definitiv weiter an. Der komplette Bereicht kann auf der Malwarebytes-Webseite eingesehen werden.

Vorhin ging es bereits um das Verhalten einer beliebten Mac-App, die den Browserverlauf von Nutzern illegal abgriff und auf chinesische Server schickte. In einem weiteren Bericht zeigen nun verschiedene Sicherheitsforscher auf, dass jede Menge beliebte iOS-Apps ein ähnliches Verhalten bei den Ortsinformationen ihrer Nutzer aufweisen (via TechCrunch). Bei den betroffenen Apps handelt es sich vor allem um News-, Wetter- und Fitness-Apps, die Zugriff auf die Ortungsdaten benötigen, um vernünftig zu funktionieren. Diese Daten werden anschließend aber offenbar weiterverkauft, um sie zu Geld zu machen. Das Versenden soll der persönlichen Nutzerdaten soll dabei dauerhaft geschehen, ohne dass der Nutzer hierüber informiert wird.

Die Wissenschaftler haben verschiedene Software genutzt, um Apps zu ermitteln, die Bluetooth LE Daten, Ortungsdaten, WLAN SSIDs, Daten des Beschleunigungssensors, den aktuellen Akkuladestand und weitere Daten erfassen und versenden. Während dabei offenbar keinerlei Daten abgegriffen werden, die es erlauben würden, den Nutzer zu identifizieren, sind die restlichen Daten hochgradig persönlich. Unter anderem können die Ortungsdaten Rückschlüsse auf den Arbeits- oder Wohnort des Nutzers zulassen. Eine komplette Liste der betroffenen Apps kann auf dieser Webseite eingesehen werden.

Es ist schon teilweise erschütternd und perfide welcher Tricks sich manche Entwickler bedienen, um an Daten von Nutzern zu gelangen. Aktuellstes Beispiel ist die App "Adware Doctor", zum Zeitpunkt des Entdeckens von darin integrierter Malware auf Platz eins der Dienstprogramme und Platz vier der Bezahl-Apps im AppStore. Die App, die laut Beschreibung ein Werbeblocker sein sollte, griff im Hintergrund fröhlich die Browser-Historie des Nutzers ab und schickte die Daten auf den Server des chinesischen Entwicklers. Was dort damit geschah, ist unklar, man kann aber davon ausgehen, dass sie für Werbezwecke weiterverkauft wurden. Damit die App Zugriff auf die Nutzerdaten erhält, müssen diese dem zustimmen, was die meisten jedoch in Anbetracht des erhofften Ziels der App getan haben dürften.

Beinahe ebenso erschütterns ist aber auch die Tatsache, dass Apple bereits im August über das Gebaren der App informiert wurde, sie aber erst nach einem ausführlichen Bericht des Sicherheitsforschers Patrick Wardle am gestrigen Tag aus dem AppStore entfernte. Der Mac AppStore ist ohne Zweifel nach wie vor der sicherste Ort, um Software für den Mac zu laden, eine komplette Sicherheit kann es aber nicht geben. In macOS Mojave wird Apple die Zügel noch einmal mehr anziehen und unter anderem dafür sorgen, dass persönliche Daten, wie unter anderem die Browser-Historie noch besser geschützt sind. (via TechCrunch)

Wer sich näher für die Thematik interessiert, dem empfehle ich einen Abstecher zum Kollegen John Gruber, der das gesamte Problem noch einmal sehr kritisch hintrfragt und dabei auch Apple in die Pflicht nimmt, ganz offensichtlich verdächtige Entwickler besser zu beobachten.

Offenbar macht aktuell mal wieder eine Malware für den Mac die Runde, die dazu führen kann, dass sich der Akku ungewöhnlich schnell leert und der Mac mit deutlich hörbaren und schnelleren Lüftern läuft. Hierüber häufen sich jedenfalls inzwischen Meldungen in Support- und Userforen. Dort wird zudem berichtet, dass die CPU-Last deutlich höher liegt, als dies eigentlich der Fall sein sollte. Inzwischen wurde als Ursache hierfür ein Prozess mit dem Namen "mshelper" ausgemacht, der sich unter anderem auch in der Aktivitätsanzeige von macOS blicken lässt. Während der genaue Zweck dieses Prozesses aktuell noch unklar ist, wird spekuliert, dass es sich hiebei eintweder um Adware oder einen Crypto-Miner handelt.

Es darf davon ausgegangen werden, dass Apple mshelper in Kürze auf die macOS-Blacklist für Malware setzen und somit außer Gefecht setzen wird. Bis es aber soweit ist, lässt sich das Problem aber auch von Hand lösen. Dabei geht man volgendermaßen vor:

• Aktivitätsanzeige im Dienstprogramme-Ordner öffnen
• Hier nach einem Prozess namens "mshelper" suchen
• Ist er hier vorhanden, müssen zwei Dateien gelöscht werden:
  • /Library/LaunchDaemons/com.pplauncher.plist
  • /Library/Application Support/pplauncher/pplauncher
• Prozess in der Aktivitätsanzeige beenden
• Beide Dateien auch aus dem Papierkorb entfernen
• Mac anschließend neustarten

Apples macOS ist offenbar aktuell das Ziel eines neuen Hacker-Angriffs, der auf dem DNSChange-Trojaner basiert, der bereits im Jahr 2011 über vier Millionen Computer infizierte. Dies berichtet aktuell The Hacker News. Die Malware verändert die DNS-Serveradressen auf den befallenen Computern und leitet hierdurch den Webverkehr über die Server der Hacker, wobei verschiedene sensible Daten abgefangen werden können. Dies wird klassischerweise als "Man in the Middle Attacke" bezeichnet. Die nun gesichtete Variante dieses Trojaners fört auf den Namen OSX/MaMi. Der Ex-NSA Hacker Patrick Wardle hat sich die Arbeitsweise des Trojaners einmal genauer angesehen und herausgefunden, dass die Malware zusätzlich auch noch ein neues Root-Zertifikat installiert, um hierüber auch auf verschlüsselte Verbindungen zugreifen zu können.

Darüber hinaus kann der OSX/MaMi-Trojaner auf einem infizierten Rechner auch die folgenden Aktionen ausführen:

• Screenshots aufnehmen
• Mausaktionen simulieren
• Sich als Startobjekt positionieren
• Dateien hoch- und runterladen
• Bestimmte Befehle ausführen

Darüber hinaus sind noch einige Details zu dem neuen Angriffsszenario unbekannt. Wardle geht jedoch davon aus, dass die Hacker sich auf Standardmethoden zum Verteilen des Trojaners verlassen, also beispielsweise infizierte E-Mails und gefälschte Sicherheitswarnungen versenden. Während Apple und die gängigen Antiviren-Anbieter sicherlich schnell auf die Bedrohung reagieren werden, sollte man selbst in den Netzwerkeinstellungen auf die IP-Adressen 82.163.143.135 und 82.163.142.137 bei den DNS-Einstellungen achten. Hierbei handelt es sich um die Hacker-Server.

Eines der bestimmtenden IT-Themen der vergangenen Tage war die WPA2-Sicherheitslücke KRACK, von der so ziemlich jedes WLAN-fähige Gerät betroffen ist. Inzwischen haben sich immer mehr Hersteller hierzu zu Wort gemeldet und geben teilweise Entwarnung. Bei Apple wird die Lücke mit den nächsten Updates für macOS, iOS, tvOS und watchOS geschlossen. Die aktuellen Betas enthalten bereits die Verbesserungen. Ein Fragezeichen steht indes noch hinter den WLAN-Produkten der AirPort-Reihe aus dem Hause Apple. Angeblich hat Apple die Abteilung inzwischen aufgelöst, weswegen eine Sicherheitsaktualisierung derzeit in den Sternen steht. Allerdings vertreibt Apple aktuell noch sowohl seine Time Capsule, als auch die AirPort Expressnund die AirPort Extreme, weswegen ein entsprechendes Firmware-Update auch nicht komplett unwahrscheinlich erscheint.

Andere Systeme haben die Sicherheitslücke indes bereitzs gestopft. So lässt Microsoft verlauten, dass die Schwachstelle bereits mit den am 10. Oktober veröffentlichten Updates auf allen betroffenen Systemen behoben wurde.

Und auch AVM, Hersteller der in Deutschland weit verbreiteten FritzBox hat inzwischen Entwarnung gegeben. So seien die FritzBox-Router nicht von dem Problem betroffen, da sie die betroffene Norm 802.11r nicht verwenden. Betroffen sein könnten allerdings die WLAN-Repeater von AVM. Hier laufen aktuell entsprechende Untersuchungen. Bei Bedarf solllen kurzfristige Aktualisierungen zum Download bereitgestellt werden.

Die meisten von euch werden es gestern vermutlich bereits irgendwo gelesen haben. Im bislang als sicher geltenden WPA2-Protokoll, mit dem heutzutage zu ziemlich alle WLANs gesichert sind, wurde eine schwere Sicherheitslücke entdeckt, die aktuell so ziemlich jeden WLAN-Router und jedes Endsystem betrifft. Entdeckt wurde die Lücke von einem Sicherheitsforscher namens Mathy Vanhoef an der belgischen Universität KU Leuven. Seine Erkenntnisse hat er nun unter dem Namen KRACK veröffentlicht. Der Name stammt von der Angriffstechnik namens "Key Reinstallation Attack", mit der sich der komplette Datenverkehr zwischen einem Endgerät und einem Router entschlüsseln und damit mitlesen lässt.

Bei dem Angriff konzentriert sich der Angreifer auf den dritten Schritt im sogenannten Vier-Wege-Handshake, der zur Schlüsselaushandlung zwischen den Geräten verwendet wird. Hier lässt sich der ausgehandelte Schlüssel mehrfach senden. Geschieht dies auf eine bestimmte Art und Weise, wird dadurch eine kryptografische Nonce erzeugen, die die Verschlüsselung aushebelt, wie die Kollegen von Ars Technica erklären. Auf diese Weise wird es möglich, sämtliche übertragenen Daten auszulesen, unter anderem auch sensible Informationen wie Kreditkarteninformationen, Passwörter, Fotos, schlichtweg alles. Einen grundsätzlichen Schutz bietet dabei die Übertragung über das verschlüsselte Protokoll HTTPS. Allerdings gibt Vanhoef hier zu bedenken, dass diverse Webseiten das Protokoll nur nachlässig implementiert haben und auch Apps dies oftmals nicht für die Datenübertragung nutzen.

Das größte Problem ist bei KRACK, dass es im WLAN-Standard, zu dem WPA2 gehört, selbst existiert und somit nahezu jeder Router und jedes WLAN-fähige Gerät hiervon betroffen ist. Dies trifft vor allem auf Linux und Android zu, da sie die Schlüsselaushandlung auf eine spezielle Art und Weise durchführen. Doch auch alle anderen Geräte, darunter auch Macs und iOS-Geräte sind potenziell gefährdet. In einem Proof-of-Concept-Video zeigt Vanhoef die Durchführung von KRACK auf einem Android-Smartphone.

YouTube Direktlink

Die gute Nachricht bei all den Hiobsbotschaften ist, dass die Sicherheitslücke gefixt werden kann und zwar so, dass ein gefixtes Endgerät auch mit einem ungepatchten Router kommunizieren kann. Die Sicherheitsforscher haben bereits im Juli damit begonnen, die Hersteller von WLAN-Geräten über das Problem zu informieren. Die amerikanische Computerschutz-Behörde US-CERT hatte zudem eine Dringlichkeitsmeldung im August an die Hersteller verschickt und inzwischen warnt auch das Bundesamt für Informationssicherheit (BSI) vor dem Problem.

Nun liegt es also an den Herstellern, die Lücke zu stopfen. Apple geht dabei mit gutem Beispiel voran und hat gegenüber dem Kollegen Rene Ritchie bestätigt, dass das Problem in den aktuellen Betas von iOS, tvOS, watchOS und macOS bereits behoben ist. Die finalen Versionen dürften noch im laufenden Monat, rechtzeitig vor dem Verkaufsstart des iPhone X erscheinen. Darüber hinaus haben sich auch die folgenden Hersteller bereits zu dem Thema geäußert (via iMore):

• Arista
• Aruba
• Cisco Meraki
• DD-WRT
• Debian/Ubuntu
• Fortinet
• Intel
• LEDE/OpenWrt
• Lenovo
• Microsoft
• MikroTik
• Netgear: WAC120, WAC505/WAC510, WAC720/730, WN604, WNAP210v2, WNAP320, WNDAP350, WNDAP620, WNDAP660, WND930
• Ubiquiti
• VMWare
• Watchguard Cloud

Wirklich schützen kann sich der Nutzer zum aktuellen Zeitpunkt kaum. Die Sicherheitsforscher empfehlen, auch weiterhin WPA2 zu nutzen und auf Patches der Hersteller zu warten. In der Zwischenzeit sollte man wann immer es geht, auf kabelgebundene Verbindungen zurückgreifen und vor allem öffentliche WLANs meiden. Die größtmögliche Sicherheit bietet zudem die Nutzung einer VPN-Verbindung.

In den vergangenen Stunden machten Berichte über eine mögliche Phishing-Attacke die Runde, in der iOS-Benutzer ausgetrickst werden können, ihr Apple ID Passwort einer Angriffs-App gegenüber preiszugeben. Aus meiner Sicht ist es dabei weniger die Gefahr als solche, als vielmehr die Tatsache als solche überraschend, dass diese Möglichkeit bislang noch nicht viel stärker in den Fokus gerückt war. Dies hat nun der deutsche Entwickler Felix Krause übernommen, der demonstriert, wie einfach ein so genannter Alert View dafür genutzt wird, Apples Passwort-Abfrage für den iTunes Store zu imitieren, die einem immer mal wieder während der Benutzung eines iPhone oder iPad angezeigt wird. In diesem Fall geschieht dies innerhalb der schadhaften App und stammt eben nicht vom System selbst. Für den Nutzer, der an derartige Einblendungen inzwischen gewöhnt ist, ist dies jedoch nicht wirklich zu erkennen. Im Hintergrund kann das eingegebene Passwort dann aber natürlich von dieser App ausgelesen werden.

Um erkennen zu können, ob die Passwortabfrage von einer Malware oder tatsächlich vom System selber stammt, empfiehlt Krause beim Erscheinen des Pop-Ups auf den Homebutton zu drücken. Verschwindet die Abfrage inklusive der geöffneten App, handelte es sich um einen Phishing-Angriff, bleibt es hingegen angezeigt, stammt die Abfrage tatsächlich von Apple. Zudem empfiehlt der Entwickler, die Abfrage grundsätzlich abzubrechen und anschließend innerhalb der Einstellungen das Passwort manuell einzugeben. Genau diesen Vorschlag hat er zudem auch in seiner Meldung an Apple gemacht. Als Nutzer sollte man zudem die Zwei-Faktor-Authentifizierung für seine Apple ID aktivieren.