Am Wochenende waren Meldungen zu den ersten beiden nativen Malware-Sichtungen speziell für M1-Macs aufgekommen. Wie es aussieht, hat Apple da jedoch schnell drauf reagiert. Auch wenn noch nicht ganz klar ist, welchen Zweck die zweite gesichtete, potenzielle Schadsoftware mit dem Namen "Silver Sparrow" verfolgt, hat Apple nun gegenüber den Kollegen von MacRumors verlauten lassen, dass man die Entwickler-Zertifikate für die betroffenen Konten deaktiviert habe, was dazu führen sollte, dass sich keine weiteren Macs mehr mit der Malware infizieren können. "Silver Sparrow" nutzt offenbar die macOS Installer JavaScript API aus, um ihren Code auf den Mac zu bringen. Apple betonte in seinem Statement auch noch einmal, dass die davon ausgehende Gefahr nach wie vor unklar sei.

Durch den Zertifikatsmeachanismus müssen inzwischen sämtliche Mac-Apps auch außerhalb des Mac AppStore mit einem Entwickler-Zertifikat signiert und an Apple zur Validierung gesendet werden. Hier wird die Software dann automatisiert auf Schadcode gescannt und erst nach erfolgreichem Bestehen freigegeben.

Erst kürzlich wurde die erste Malware entdeckt, die auf einem M1-Mac kompiliert wurde und speziell auf diese Art von Macs abzielt. Nun haben die Sicherheitsspezialisten von Red Canary bereits die nächste Schadsoftware ausgemacht, bei der jedoch das genau Ziel noch unklar ist. Während die kürzlich entdeckte Malware eine sogenannte Adware ist und keinen direkten Schaden auf dem Mac auslöst, sammelt sie im Hintergrund verschiedene Nutzerdaten und blendet jede Menge Werbebanner und Popups ein, die teilweise auch auf schädliche Webseiten verlinken. Da die M1-Variante der Malware noch relativ neu ist, wird sie aktuell noch nicht von den gängigen Virenscannern entdeck.

Die neu entdeckte Malware namens "Silver Sparrow" nutzt offenbar die macOS Installer JavaScript API aus, um ihren Code auf den Mac zu bringen. Die davon ausgehende Gefahr ist allerdings nach wie vor unklar. Weder die Experten von Red Canary, noch ihre Partner konnten ein durch "Silver Sparrow" ausgelöstes Verhalten erkennen. Dennoch warnen die Sicherheitsforscher, dass von der Malware eine ernste Gefahr ausgehen könnte. Es ist also möglich, dass es sich um eine Standby-Malware handelt, die nur darauf wartet, aktviert zu werden.

Die Kollegen von Malwarebytes haben ermittelt, dass "Silver Sparrow" bis zum 17. Februar bereits 29.139 Macs in 153 Ländern befallen hat. Die Schwerpunkte sollen dabei vor allem in den USA, Großbritannien, Kanada, Frankreich und auch Deutschland liegen. Aktuell ist aber unklar, wie viele M1-Maschinen sich darunter befinden.

Gerade erst wurde ein Bericht veröffentlicht, wonach die Verbreitung von Malware auf dem Mac weiter rückläufig ist, da hat der Sicherheitsforscher Patrick Wardle (via Wired) nun offenbar die erste in Umlauf befindliche Malware entdeckt, die speziell auf M1-Macs zielt. Dabei handelt es sich um eine Adware aus der "Pirrit"-Familie namens "GoSearch22", die sich als Safari-Erweiterung auf den Mac schleicht. Ursprünglich wurde diese für Intel x86 Chips geschrieben, präsentiert sich nun aber als Version, die nativ auf einem M1-Mac kompiliert wurde und auf der Plattform läuft.

Während die Malware keinen direkten Schaden auf dem Mac auslöst, sammelt sie im Hintergrund verschiedene Nutzerdaten und blendet jede Menge Werbebanner und Popups ein, die teilweise auch auf schädliche Webseiten verlinken. Da die M1-Variante der Malware noch relativ neu ist, wird sie aktuell noch nicht von den gängigen Virenscannern entdeckt, wie Wardle warnt. Die Sicherheitsexperten von Red Canary ergänzen, dass man auch Anzeichen für weitere M1-Malware im Fahrwasser von "GoSearch22" entdeckt habe, diese aber derzeit noch untersuche.

Vor dem Hintergrund, dass Apple bereits die aktuellen Versionen des 13" MacBook Pro, MacBook Air und Mac mini mit einem M1-Chip bestückt und zugleich angekündigt hat, bis Ende kommenden Jahres sämtliche Mitglieder der Mac-Familie auf Apple Silicon umzustellen, war es nur eine Frage der Zeit, ehe die erste native Malware für diese Plattform auftaucht. Dennoch dürfte der Mac auch weiterhin als vergleichsweise sichere Plattform dienen.

Die Anti-Virus-Spezialisten von Malwarebytes haben ihren aktuellen "State of Malware" Bericht veröffentlicht, aus dem vor allem die Entwicklungen in Sachen Viren- und Malwareverbreitung im vergangenen Jahr hervorgehen. Erneut zeigt sich, dass der Mac nach wie vor eine vergleichsweise sichere Plattform ist. Den Zahlen zufolge waren die Gefahren durch Schadsoftware auf dem Mac im vergangenen Jahr sogar um 38% rückläufig. Wurden von Malwarebytes im Jahr noch insgesamt 120.855.305 Gefahren gesichtet, waren es in 2020 "nur" noch 75.285.427.

Allerdings sind die Zahlen auch ein Stück weit trügerisch. So ging vor allem die Zahl der Adware und unerwünschten Programme zurück, während "echte" Malware wie Backdoors, Data Stealers und Cryptowährungs-Miner um mehr als 61% zunahmen. Festgehalten werden muss dabei allerdings, dass dies in absoluten Zahlen auf dem Mac immer noch recht wenig ist. So machen die genannten Malware-Variationen lediglich 1,5% aller Gefahren auf dem Mac aus, während Adware und unerwünschte Programme für den Rest verantwortlich zeichnen.

Der gesamte Bericht kann auf der Malwarebytes- Webseite eingesehen werden.

Dem Sicherheitsforscher Alex Birsan ist es in den USA gelungen, mit vergleichsweise simplen Mitteln in die internen Systeme von mehr als 35 großen Unternehmen, darunter Apple, Tesla, Microsoft und PayPal einzudringen (via Bleeping Computer). Dabei nutzte er eine einzelne Sicherheitslücke in einem Zusammenspiel verschiedener Open-Source-Anwendungen namens "Dependency Confusion" aus. Hierbei hat Birsan eine Malware in Open-Source-Repositories wie PyPI, npm oder RubyGems eingeschleust, die sich dann in die internen Systeme der Unternehmen weiterverbreiteten. Das Perfide dabei: Auf den betroffenen werden die aktualisierten Pakete austomatisch per Update installiert, ohne dass der nutzer hiervon etwas mitbekommt, Trojaner eingeschleust werden müssen oder Social Engineering angewandt werden muss.

Dabei machte sich der Sicherheitsforscher das Aktualisierungskonzept mancher Open-Source-Repositories zunutze. Beispielsweise ist es beim Paket PyPI so, das grundsätzlich jedes Paket mit einer neueren als der aktuell installierten Versionsnummer heruntergladen wird, unabhängig davon, wo es im Internet angeboten wird. Eine durchaus bemerkenswerte Gefahr, die auch für viele andere Nutzer ein Problem darstellen kann. Nach dem erfolgreichen Angriff auf die Systeme informierte der Sicherheitsforscher die betroffenen Unternehmen und wies sie auf das Problem hin. Teilweise erhielt er hierfür sogar Belohnungen, wie etwa 40.000,- US-Dollar von Microsoft oder einen nicht näher bezifferten Betrag aus Apples Security Bounty Program. Insgesamt soll birsan auf diese Weise  mehr als 130.000,- Dollar verdient haben. Zurecht, wenn man mich fragt.

Wer sich für die Details der ausgenutzten Sicherheitslücke interessiert, findet diese auf Alex Birsans Medium Page.

Als Mac-Nutzer galt man in der Vergangenheit stets besser vor Viren und Malware geschützt als mit einem Windows-PC. Dies scheint sich nun jedoch langsam zu wandeln. Wie der Anti-Virensoftware Hersteller Malwarebytes berichtet,  So konnte der Anbieter im vergangenen Jahr erstmals mehr Angriffe auf Macs verzeichnen als auf Windows-Rechner, wie aus seinem "State of Malware Report" (PDF) hervorgeht. Zählte man im Jahr 2018 noch 4,8 potenzielle Gefahren für den Mac, waren es im vergangenen Jahr 11. Im Vergleich dazu kommt die Windows-Plattform lediglich auf 5,8 Gefahren. Allerdings muss man die Zahlen und vor allem den starken Anstieg differenziert betrachten, da sie auch aus der Tatsache entspringen, dass sich die Nutzerbasis von Malwarebytes für Mac stark erhöht hat. Dennoch überstieg die Zahl der Gefahren pro Endgerät für den Mac die für Windows im Durchschnitt deutlich.

Als Gründe für den neuen Trend nennt Malwarebytes die inzwischen größer werdende Verbreitung des Mac und die Tatsache, dass sich die Sicherheitsmaßnahmen in macOS nicht im selben Maße gegen Adware und PUPs ("Potentiell unerwünschte Programme") richten, wie sie dies gegen Malware und Viren tun. Auch diese beiden Arten von Gefahren wurden von Malwarebytes allerdings mitgezählt.

Vor allem Adware war im vergangenen Jahr mal wieder die häufigste potenzielle Gefahr unter Windows, Mac und Android. Während für Windows 24 Millionen Adware-Erkennungen gezählt wurden, waren es unter macOS 30 Millionen Stück. Hier kamen vor allem Vertreter der Adware-Familie namens "NewTab" zum Einsatz, die darauf abzielt, Suchanfragen auf Werbeseiten umzuleiten. Bei den PUPs sind vor allem sogenannte "Cleaning-Apps", wie beispielsweise MacKeeper, MacBooster, Advanced Mac Cleaner oder Mac Adware Cleaner zum Einsatz.

Alles in allem stieg zwar die bloße Anzahl der potentiellen Gefahren für den Mac an, diese stammen jedoch aus einem Bereich, der als nicht ganz so gefährlich angesehen wird, wie die meisten Gefahren, die nach wie vor unter Windows existieren. Das Interesse von Angreifern an der Mac-Plattform steigt jedoch definitiv weiter an. Der komplette Bereicht kann auf der Malwarebytes-Webseite eingesehen werden.

Vorhin ging es bereits um das Verhalten einer beliebten Mac-App, die den Browserverlauf von Nutzern illegal abgriff und auf chinesische Server schickte. In einem weiteren Bericht zeigen nun verschiedene Sicherheitsforscher auf, dass jede Menge beliebte iOS-Apps ein ähnliches Verhalten bei den Ortsinformationen ihrer Nutzer aufweisen (via TechCrunch). Bei den betroffenen Apps handelt es sich vor allem um News-, Wetter- und Fitness-Apps, die Zugriff auf die Ortungsdaten benötigen, um vernünftig zu funktionieren. Diese Daten werden anschließend aber offenbar weiterverkauft, um sie zu Geld zu machen. Das Versenden soll der persönlichen Nutzerdaten soll dabei dauerhaft geschehen, ohne dass der Nutzer hierüber informiert wird.

Die Wissenschaftler haben verschiedene Software genutzt, um Apps zu ermitteln, die Bluetooth LE Daten, Ortungsdaten, WLAN SSIDs, Daten des Beschleunigungssensors, den aktuellen Akkuladestand und weitere Daten erfassen und versenden. Während dabei offenbar keinerlei Daten abgegriffen werden, die es erlauben würden, den Nutzer zu identifizieren, sind die restlichen Daten hochgradig persönlich. Unter anderem können die Ortungsdaten Rückschlüsse auf den Arbeits- oder Wohnort des Nutzers zulassen. Eine komplette Liste der betroffenen Apps kann auf dieser Webseite eingesehen werden.

Es ist schon teilweise erschütternd und perfide welcher Tricks sich manche Entwickler bedienen, um an Daten von Nutzern zu gelangen. Aktuellstes Beispiel ist die App "Adware Doctor", zum Zeitpunkt des Entdeckens von darin integrierter Malware auf Platz eins der Dienstprogramme und Platz vier der Bezahl-Apps im AppStore. Die App, die laut Beschreibung ein Werbeblocker sein sollte, griff im Hintergrund fröhlich die Browser-Historie des Nutzers ab und schickte die Daten auf den Server des chinesischen Entwicklers. Was dort damit geschah, ist unklar, man kann aber davon ausgehen, dass sie für Werbezwecke weiterverkauft wurden. Damit die App Zugriff auf die Nutzerdaten erhält, müssen diese dem zustimmen, was die meisten jedoch in Anbetracht des erhofften Ziels der App getan haben dürften.

Beinahe ebenso erschütterns ist aber auch die Tatsache, dass Apple bereits im August über das Gebaren der App informiert wurde, sie aber erst nach einem ausführlichen Bericht des Sicherheitsforschers Patrick Wardle am gestrigen Tag aus dem AppStore entfernte. Der Mac AppStore ist ohne Zweifel nach wie vor der sicherste Ort, um Software für den Mac zu laden, eine komplette Sicherheit kann es aber nicht geben. In macOS Mojave wird Apple die Zügel noch einmal mehr anziehen und unter anderem dafür sorgen, dass persönliche Daten, wie unter anderem die Browser-Historie noch besser geschützt sind. (via TechCrunch)

Wer sich näher für die Thematik interessiert, dem empfehle ich einen Abstecher zum Kollegen John Gruber, der das gesamte Problem noch einmal sehr kritisch hintrfragt und dabei auch Apple in die Pflicht nimmt, ganz offensichtlich verdächtige Entwickler besser zu beobachten.