Onderzoekers vinden OS X-malware die gegevens uit keychain steelt

Onderzoekers van beveiligingsbedrijf ESET hebben OS X-malware gevonden die gegevens uit de keychain steelt en fungeert als backdoor. Het bedrijf heeft nog niet met zekerheid kunnen vaststellen op welke manier de malware zich verspreidt en hoeveel slachtoffers er zijn.

De malware staat bekend onder de naam 'Keydnap' en komt binnen in de vorm van een zipbestand, vermoedelijk als bijlage van een spam-e-mail, zo schrijft ESET. In dat archief bevinden zich twee bestanden, een txt- en een jpeg-bestand. In werkelijkheid zijn het echter uitvoerbare Mach object-bestanden, die het systeem daarom opent in de terminal.

De malware is in staat dit te doen doordat er een spatie aan het einde van de bestandsextensie is toegevoegd, zo leggen de onderzoekers uit. Daarnaast bevat het ziparchief een zogenaamde resource fork, waarmee het zich voordoet als tekstbestand of afbeelding door de corresponderende OS X-iconen te tonen. Opent de gebruiker een van de bestanden, dan wordt de malware uitgevoerd. Er wordt dan wel een waarschuwing door de Gatekeeper-beveiliging getoond, omdat de software niet ondertekend is.

De gebruiker moet deze waarschuwing negeren om geïnfecteerd te raken. Als dit gebeurt dan downloadt de malware de backdoor en vervangt hij de downloader zelf met een nepbestand. Deze bestanden tonen onder andere screenshots van besturingspanelen van command-and-control-servers van botnets, waardoor ESET aanneemt dat de malware is gericht op leden van de onderwereld of op beveiligingsonderzoekers. De malware communiceert vervolgens met een cnc-server op een tor-adres en stelt een aanvaller bijvoorbeeld in staat om op afstand een bestand van een url te downloaden en uit te voeren.

Ook kan de malware rootrechten verkrijgen via een venster waarin de software de gebruiker vraagt zijn wachtwoord in te vullen. Dit wordt alleen getoond als twee processen kort achter elkaar aangemaakt worden. De code die voor het stelen van wachtwoorden uit de Keychain-wachtwoordmanager verantwoordelijk is, lijkt direct afkomstig te zijn uit een GitHub-project met de naam 'Keychaindump', zo vullen de onderzoekers aan.

Eerder deze week vonden onderzoekers van beveiligingsbedrijf Bitdefender een andere OS X-backdoor met de naam 'Backdoor.MAC.Eleanor'. Deze is aanwezig in software die zich voordoet als een conversieprogramma met de naam EasyDoc Converter. Deze malware is onder andere in staat om beeld op te nemen met ingebouwde webcams op geïnfecteerde systemen.

keydnap malware

IT-banen

Reacties (110)

Eitot 7 juli 2016 13:48

Ik vraag mij af op de eerste variant op macOS Sierra ook nog werkt. Apple heeft Gatekeeper namelijk uitgebreid en niet-gesigneerde bestanden worden dan automatisch van een toevallige, niet-beschrijfbare locatie geïsoleerd uitgevoerd. Het downloaden van een vervangend bestand zou dan niet meer werken, net zo min het verwijzen naar een ander bestand. De functie wordt ‘path randomization’ genoemd, voor de geïnteresseerden.

goarilla @Eitot • 8 juli 2016 12:24

Wat ik niet goed begrijp is dat het default "open" programma een shell is. Dit had toch niks moeten zijn of TextEdit ?

edit, beetje onderzoek gedaan:
Wanneer een bestand uitvoerbaar is EN een bestandsnaam heeft dat gevolgd wordt door een spatie, punt of mogelijk misschien nog andere speciale karakters, dan wordt het aanzien als een executable.

[Reactie gewijzigd door goarilla op 27 juli 2024 02:43]

Sjeefr @Eitot • 7 juli 2016 14:32

Dit is echt mega interessant. Heb je meer info hierover op een non-dev wijze? Wel benieuwd naar een uitgebreid artikel hierover.

Dit zou namelijk echt een geweldige beveiligingsfeature zijn en ik vraag mij dan ook af waarom dit nooit eerder is verwerkt in welk OS dan ook..

Verwijderd @SilverRST • 7 juli 2016 20:58

Aapricitey OS schijnt erg veilig te zijn.

Laatste release(kandidaat 2) is ook weer een stukje sneller dan een Mac OS.X

(Althans, op een C64)

De cinnamon versie is ook beschikbaar.
focuses on elegance, code correctness, minimalism and simplicity

Voor meer informatie zoek je uiteraard op 'aApricitey' op deze site.
Clean && Classy
Visual Exploration A.OS
Nerd Review

Windows 10 : 3.014 nieuwsberichten
Linux Mint : 23 nieuwsberichten
OSX : 39 nieuwsberichten
Solaris 11.3 : 1 nieuwsbericht
Commodore 64 : 40 nieuwsberichten

Daily Unique Visitors : 67,843
tweakers.net web-stats
Tweakers.net has an estimated worth of 510,294 USD / 800.1 Bitcoins

Tweakers.net linking stats :
1. msn.com
2. microsoft.com
3. fc2.com
4. stackoverflow.com
5. themeforest.net
Most Important websites for Tweakers.net

[Reactie gewijzigd door Verwijderd op 27 juli 2024 02:43]

Sluuz 7 juli 2016 13:25

Kortom, je moet wel een paar waarschuwingen negeren voordat je geïnfecteerd raakt. Normaliter komt Gatekeeper natuurlijk niet om de hoek kijken als je een .jpg bestandje opent.

Eagle Creek

@Sluuz • 7 juli 2016 13:37

Meer specifiek: je moet akkoord gaan dat een applicatie zonder geldige handtekening wordt uitgevoerd, wanneer je een tekst- of afbeeldingsbestand opent. Op zich is dit een goede line of defense omdat een aantal eigenaardigheden worden geconstateerd en tegengehouden. Dit is wat anders dan "klik op next voor een willekeurige applicatie".

Voor de gemiddelde gebruiker is dit nog steeds uitdagend helaas - ik kan mij voorstellen dat er genoeg slachtoffers vallen.

Dat passwordmanagers doel van aanval worden is niet anders dan logisch - alle belangrijke gegevens c.q. bronnen die veelgebruikt worden, worden interessant om aan te vallen.

[Reactie gewijzigd door Eagle Creek op 27 juli 2024 02:43]

SED @Eagle Creek • 7 juli 2016 14:58

Als je ziet hoe de doorsnee gebruiker de UAC meldingen van Windows die echt serieus zijn gewoon wegklikt, verwacht ik bij gebruikers geen probleem. Klikgeiten blijven bestaan, ongeacht security en onderliggende systeem.
Het aantal Linux gebruikers die standaard sudo intikken bij elke ook via vage repos verkregen software is groot.
Kortom, de gebruiker blijft het probleem.

[Reactie gewijzigd door SED op 27 juli 2024 02:43]

xoniq @Eagle Creek • 7 juli 2016 20:22

Er wordt ook nog om een wachtwoord gevraagd. Die je normaal krijgt als je zelf een wachtwoord wilt ophalen uit de keychain, om de keychain te unlocken.

Wodanford @Sluuz • 7 juli 2016 13:30

Eén waarschuwing. En eventueel moet je later je wachtwoord invullen. Welke gemiddelde gebruiker gaat daarop letten? "Waarschuwing bij openen foto? Wat een onzin, ja natuurlijk wil ik doorgaan." <klik>

ronaldmathies @Wodanford • 7 juli 2016 13:38

Niet een waa schuwing maar een melding. Je moet daarna eerst naar een aparte applicatie gaan om hem alsnog uit te voeren.

Dit is dus ongeveer vijf handelingen.

1. Scherm weg klikken.
2. Naar configuratie scherm gaan.
3. Naar security / privacy gaan.
4. Tabblat vior gatekeeper openen.
5. Op execute anyway klikken.

xoniq @ronaldmathies • 7 juli 2016 20:23

En een wachtwoord invullen omdat een proces systeemwijzigingen wil doorvoeren. (Vergelijkbaar met het invullen voor een wachtwoord voor een 'sudo' actie.)

CharlesND @Wodanford • 7 juli 2016 13:54

[quote]
Eén waarschuwing. En eventueel moet je later je wachtwoord invullen. Welke gemiddelde gebruiker gaat daarop letten?

Nou, ik ken heel wat gemiddelde Mac gebruikers met de Gatekeeper op de default stand die vrijwel alles via de Appstore kopen en die letten ontzettend goed op zo'n ook nog hele duidelijke waarschuwing omdat ze die zelden of nooit te zien krijgen. Die klikken echt niet rustig door.

"Waarschuwing bij openen foto? Wat een onzin, ja natuurlijk wil ik doorgaan." <klik>

Ja, inderdaad onzin. Gatekeeper waarschuwt namelijk dat er een programma geïnstalleerd wordt van een maker die niet bij Apple bekend is en niet dat er een foto geopend moet worden. En natuurlijk wil ik zo'n programma direct installeren!! Wie kan er in deze tijd nog zonder Easy Doc Converter! Iedere 'gemiddelde Mac gebruiker' zit daar al jaren op te wachten! Hup, installeren!

En de belangrijkste beveiliging is alweer direct in actie gekomen. Volop publiciteit. De maker kan alweer afscheid nemen van zijn malware want zelfs op allerlei niet mac-gerelateerde sites gaat het als een lopend vuurtje rond. Jammer van al zijn investeringen en inspanningen..

SED @CharlesND • 7 juli 2016 15:04

Leuke theorie, maar helaas blijven mensen denken dat ze op een mac immuun zijn voor malware. Die mythe word took nog steeds gevoed door ervaren mac gebruikers.
Dat is al lang niet meer zo. Iedereen op elk os moet vreselijk goed op blijven letten.

Chotto Toire @Verwijderd • 7 juli 2016 13:54

als je een melding van gatekeeper krijgt met jpeg files.. dan gaat er wel een beetje rinkelen bij de meeste mensen hoor

Nee echt niet hoor. Wij Tweakers prikken er natuurlijk zo doorheen, maar ik denk dat we juist door ons eigen hoge kennis- of ervaringsniveau makkelijk van anderen verwachten dat zij zoiets ook wel zien. Maar de echte kwetsbare gebruiker is natuurlijk die vader of moeder die de computer graag gebruikt om foto's op te bekijken en mee te e-mailen en op het internet hoogstens Google en Marktplaats bezoekt. Die opent dat .jpg'tje, ziet een melding die hij wel vaker ziet en nooit een probleem is en klikt op doorgaan.

Zo was mijn moeder laatst een beetje in paniek toen er op het scherm van haar telefoon stond dat er een virus op haar telefoon was gevonden en dat ze nog 1:30m had om dat te verwijderen, anders raakten er bestanden permanent beschadigd. Bovenaan die pagina stond het beeldmerk van Google en die timer liep af om mijn moeder zo snel mogelijk op "probleem oplossen" te laten tikken. Ik ben blij dat ze mij riep voordat ze iets deed, maar het geeft wel aan hoe hulpeloos mensen zijn bij zulke nepperij.

Verwijderd @Chotto Toire • 7 juli 2016 16:19

[...]

Nee echt niet hoor. Wij Tweakers prikken er natuurlijk zo doorheen, maar ik denk dat we juist door ons eigen hoge kennis- of ervaringsniveau makkelijk van anderen verwachten dat zij zoiets ook wel zien. Maar de echte kwetsbare gebruiker is natuurlijk die vader of moeder die de computer graag gebruikt om foto's op te bekijken en mee te e-mailen en op het internet hoogstens Google en Marktplaats bezoekt. Die opent dat .jpg'tje, ziet een melding die hij wel vaker ziet en nooit een probleem is en klikt op doorgaan.

Je werkt zelf niet met OS X neem ik aan? Want wat jij beschrijft kan helemaal niet. Er is geen optie "doorgaan" als Gatekeeper een melding geeft. Je kan niet vanuit deze melding per ongelijk een verkeerde optie kiezen, hiervoor moet je heel doelbewust instellingen wijzigen.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 02:43]

jegelie @Verwijderd • 7 juli 2016 21:20

Of, wat ik altijd doe, het programma lokaliseren in de Finder (met command-klik zo gebeurd), en dan met het contextuele menu ("rechts-klik") Open kiezen.

Je krijgt dan een andere melding waar gevraagd wordt of je het echt wilt openen. Gewoon op de knop "Open" klikken, en voortaan wordt er niet meer naar gevraagd.

Deze workaround vraagt inderdaad om problemen.

Zie ook: http://pasteboard.co/8IdryTyyO.png

Raventhorn @Verwijderd • 7 juli 2016 14:00

OF het zijn ICTers.. OF het zijn mensen met teveel geld die apple kopen en dus echtwel een technisch IT mannetje in de familie hebben die ze uitlegt wat WEL en wat NIET te doen..

Het feit dat de meeste mensen een IT-technisch mannetje in de familie of omgeving hebben, wil niet zeggen dat ze daar ook naar luisteren. Ik heb zelf al meerdere malen gezien dat, hoewel je ze 100 keer zegt dat ze op moeten letten met wat ze openen, complete computers onbruikbaar worden door het openen van geïnfecteerde bijlagen, of het negeren van waarschuwingen van A/V-pakketten.
En ICT-ers zijn net zo vatbaar voor virussen als ieder ander; het enige verschil is dat ze vaker weten hoe ze er weer vanaf kunnen komen, of wat meer stappen kunnen ondernemen om het te voorkomen. Heeft niks met vakgebied te maken, wel met kennis, begrip en gezond verstand. (waarvan de eerste twee voor iedereen te verkrijgen zijn; het gezond verstand heb je al, dus gebruik het)

En het feit dat Applegebruikers meer betalen voor hun systeem zegt ook niet veel. Juist het elitaire en 'Ach, ik gebruik een Apple device, mij kan niks gebeuren' is een hardnekkig verhaal en een enorme dooddoener. Net als 'Ach, ik ben toch geen interessant doelwit'. Jij niet, maar je resources (computer, internetverbinding, bankrekening, inloggegevens etc) wel.
Je gebruikt een computer, dus let op met wat je doet. (geldt ook voor tablets, smartphones en alle andere 'smart' devices)

Volkan1984 @Verwijderd • 7 juli 2016 13:40

"Mensen met teveel geld", wat een dikke onzin.

Volkan1984 @Verwijderd • 7 juli 2016 14:19

Clapbook?

Whatson @Verwijderd • 7 juli 2016 14:18

Ok. Toon mij dan maar eens een laptop met dezelfde specificaties als een Macbook Pro Retina (2015) 258GB 8GB voor 900€.

SED @Whatson • 7 juli 2016 15:08

http://www.notebookcheck....o-13-and-15.129395.0.html

Nog los van het feit je voor echt zware werkstations helaas niet meer bij Apple terecht kunt.
Ook de macpro loopt fiks achter bij de concurentie. Duidelijk geen lijn meer waar Apple nog veel in gaat investeren. Ze richten zich steeds mee rop consumenten electronica waar ze per stuk hogere winstmarges hebben.
voorbeeld:
http://www.computerworld....ehind-windows-rivals.html

Whatson @SED • 7 juli 2016 15:28

pricewatch: Lenovo ThinkPad T460s 20F90043MH
1900€

Dat is 1000€ teveel.

Los van het feit dat het plastic is. XPS 13 komt in de buurt maar is verre van perfect.
Dell XPS 13 / XPS 15 (Skylake): Ervaringen en discussie

Veel problemen.

Verwijderd @Sluuz • 7 juli 2016 13:29

Dat moet je wel weten...
Nadeel van een "velig OS" zoals OSX is dat de gebruiker dan wellicht ook een beetje laks wordt en makkelijker in een valletje te lokken is met dit soort grappen.

Ik zie dat met Linux ook, hoeveel mensen maar gewoon sudo commando's aan hun computer voeren die ze van internet trekken zonder een minuutje te nemen om te leren wat het feitelijk doet... ook zo'n fenomeen.

WhatsappHack

Apple
Netwerk en systeembeheer
Security

@Verwijderd • 7 juli 2016 13:31

sudo?

Bwaha, kom op zeg: gewoon inloggen als root en daar alles executen, scheelt toch weer 5 keypresses per commando!

xFeverr @WhatsappHack • 7 juli 2016 13:46

Precies, default op root. Een beetje spanning mag wel he?

bobdetweaker @WhatsappHack • 7 juli 2016 14:03

sudo su root

Kapitein Edward @WhatsappHack • 7 juli 2016 13:39

Bij een beetje deftige Linux distro kan dat out of the box niet!

compufreak88 @Kapitein Edward • 7 juli 2016 13:56

Standaard heeft root geen wachtwoord in die distro's, maar dat betekent niet dat je geen root gebruiker kan worden. sudo -i, sudo su -, etc.

[Reactie gewijzigd door compufreak88 op 27 juli 2024 02:43]

Wolfos @Kapitein Edward • 7 juli 2016 13:57

Bij OS-X dus wel. Gewoon sudo su - en dan heb je roottoegang.

EDIT: Ja, natuurlijk moet je dan wel je wachtwoord invoeren.

[Reactie gewijzigd door Wolfos op 27 juli 2024 02:43]

wica @Wolfos • 7 juli 2016 14:09

Is dat zo?
Sorry, mijn mac vraagt toch echt nog om mijn wachtwoord. En zonder mijn wachtwoord ben je nog steeds geen root.

EN dan nog, als iemand IRL dit kan invoeren op mijn Mac, heb ik toch al een ander probleem.

Verwijderd @Wolfos • 7 juli 2016 14:15

Nee, klopt niet wat je zegt. Net geprobeerd en ik moet toch echt een password invullen.

WhatsappHack

Apple
Netwerk en systeembeheer
Security

@Verwijderd • 7 juli 2016 15:52

Klopt hoor, je moet bij OS X specifiek de root user inschakelen bij je user management; anders kom je er niet in.

repmeer @Kapitein Edward • 7 juli 2016 13:57

Misschien maar gemiddelde gebruiker heeft meestal geen Linux. Degene die Linux gebruiken hebben een hogere IT kennis en de kans dat ze dat aanpast hebben is dan niet ondenkbaar.

SED @repmeer • 7 juli 2016 15:01

Dat verhaal gaat met de vele miljoenen iot linuxen die massal misbruiokt worden al niet meer op. 90% van de linuxen zit bij gebruikers die niet eens weten dat ze linux hebben.

WhatsappHack

Apple
Netwerk en systeembeheer
Security

@SED • 7 juli 2016 15:53

Het grootste probleem is imho mensen die gewoon van die curl commando's met su/root uitvoeren zonder de repo te controleren. En dan klagen als ze last krijgen van shit als libkeyutils exploits en rootkits. Gekkenwerk.

Toettoetdaan @Sluuz • 7 juli 2016 13:32

Ik krijg zo vaak een (wachtwoord)melding dat ik er echt niet zo goed meer op let.

Hoewel een gatekeeper melding wel opvallent is ja.

Dreamvoid @Sluuz • 7 juli 2016 13:41

Tsja, maar er zijn miljoenen Mac gebruikers die dit niet weten - het OS hoort executable bestanden nooit aan de gebruiker als image bestand te tonen, zeker vanwege een simpele truc als een spatie aan de bestandsnaam toevoegen.

En als je dan toch dubbelklikt, dan hoort hij een image bestand ook altijd in een image viewer te openen, niet in de terminal.

[Reactie gewijzigd door Dreamvoid op 27 juli 2024 02:43]

Keypunchie

Apple

@Sluuz • 7 juli 2016 13:57

Daarnaast, met de standaardinstellingen van Gatekeeper zou deze code uberhaupt niet uitgevoerd kunnen worden. Dan moet je aktief je Gatekeeper-instellingen wijzigen of op een manier openen dat Gatekeeper bewust omzeild wordt.

Tenminste, ik neem aan dat als ze al een 'identified developer' certificaat hadden, dat die dan door Apple is ingetrokken.

Je kunt alleen maar de melding wegklikken, niet 'ok ik ben akkoord' klikken, zoals dat wel is met wel-ondertekende software.

Verwijderd 7 juli 2016 14:06

Heel erg eng dat Mac OS X dit soort misleiding toestaat door een preview van een JPG te tonen wat eigenlijk een executable is. Zelfs Windows doet dit beter!

Squ1zZy @Verwijderd • 7 juli 2016 14:20

Wat Mac OS X doet en wat Windows niet doet is zelf kijken wat het bestand is (door te kijken naar de magic number. De eerste bytes van het bestand) en dan uitvoeren.

Als je op Windows een bestand uitvoert zonder extensie dan geeft Windows aan dat hij niet weet hoe hij het bestand moet openen omdat geen extensie niet voor komt in de file association.

Dus het bestand begint met "FE ED FA CE" en dan ziet Mac OS X dat het om een Mach-O bestand gaat en voert die dan uit.

https://en.wikipedia.org/wiki/List_of_file_signatures

Zo kun je een bestand openen zonder extensie. Een PDF zonder extensie wordt dus gewoon geopend. Dit heeft voordelen, maar gezien dit artikel ook zijn nadelen

Verwijderd @Squ1zZy • 7 juli 2016 14:24

Maar door een preview te laten zien van een JPG geven ze mensen de indruk dat het een JPEG bestand IS, terwijl het gewoon een executable is. OS X zou dat als executable bestand moeten weergeven.

En moet je niet zoals onder Linux een bestand zelf execute rechten geven?

analog_ @Verwijderd • 8 juli 2016 00:07

afhankelijk van de extractie methode zitten permissie erbij. Jij chmod +x toch ook niet je apache exec als hij uit je deb/rpm komt?

goarilla @Squ1zZy • 8 juli 2016 19:44

Ik denk niet dat dit correct is.
Wanneer een bestand uitvoerbaar is EN een bestandsnaam heeft dat gevolgd wordt door een spatie, punt of mogelijk misschien nog andere speciale karakters, dan wordt het aanzien als een executable.

~ $ echo 'hallo' > lol.jpg\
~ $ chmod +x lol.jpg\
~ $ open .

Als je deze dan aanklikt in finder, krijg je een terminal met:

Last login: Fri Jul 8 19:39:00 on ttys002
~ $ /Users/user/lol.jpg\ ; exit;
/Users/user/lol.jpg : line 1: hallo: command not found
logout
Saving session...
...copying shared history...
...saving history...truncating history files...
...completed.

[Process completed]

Dit krijg je ook als het een echte executable is:

~ $ vim try.c
~ $ make try
cc try.c -o try
~ $ mv try try.jpg\
chmod +x try.jpg\

En als je dat dan weer aanklikt in finder, krijg je een terminal met:

Last login: Fri Jul 8 19:42:36 on ttys002
~ $ /Users/user/try.jpg\ ; exit;
Running ...
logout
Saving session...
...copying shared history...
...saving history...truncating history files...
...completed.

edits: opmaak en spelling

[Reactie gewijzigd door goarilla op 27 juli 2024 02:43]

GWTommy 7 juli 2016 13:33

Ik vind de titel extreem misleidend. Ik ben een Mac gebruiker en schrok me rot toen ik las dat er een backdoor is gevonden.
Onder een backdoor versta ik toch echt een overheids-ingang, bijv. door Apple geïmplementeerd voor de NSA oid.

Edit: titel is inmiddels gewijzigd.

[Reactie gewijzigd door GWTommy op 27 juli 2024 02:43]

Verwijderd @GWTommy • 7 juli 2016 13:40

en dan ben je vast een apple user die geen tweakers volgt want ze hebben x maanden geleden al aangegeven dat ze niet aan die grappen meedoen bij apple.. omdat ze anders hun klant vertrouwen kwijt raken.. en dus hun sales..

zodra ze bij apple de overheid binnen laten.. is het 'just another OS' en zijn ze hun edge kwijt..

dus wees maar niet bang.. het is gewoon weer een vorm van malware die 10 waarschuwingen nodig heeft om te infecteren op een apple OS.. BEN je eenmaal geïnfecteerd.. dan maakt die malware IDD een backdoor functie beschikbaar voor de hacker.

musje83 @Verwijderd • 7 juli 2016 13:51

Tsja.. Voor de gemiddelde computeraar (al helemaal de zelfbenoemde 'digibeten' die precies om die reden een Mac aanschaffen) is 1 waarschuwing niet meer dan een 'weet u het zeker?'. Met andere woorden, velen zullen gewoon op 'doorgaan' klikken.

Dit is net zo goed een kwetsbaarheid als veel andere kwetsbaarheden onder niet-unix OS'en, hoe je het ook bagatelliseert

z1rconium @musje83 • 7 juli 2016 14:45

Het is weer een assumptie-feest in dit artikel want als gate-keeper aan staat, dan kun je het niet negeren, het is OK of CANCEL wat exact hetzelfde doet: niets.

Maw: je "weet u het zeker" bestaat niet in OS X, je kunt niet 'doorgaan', precies de reden waarom gate-keeper op het systeem by default aan staat.

Zoals in het gelinkte artikel staat wat hier verkeerd word geinterpreteerd:

The downloader is an unsigned Mach-O executable. Thus, if the file is downloaded from an internet browser and Gatekeeper is activated on the machine – the default in recent versions of OS X and macOS – it will not execute and display a warning to the user.

Je kunt het bestand alsnog wel handmatig accepteren via finder waarbij je je admin account/pass moet meegeven, dan ben je wel heel bewust bezig.

musje83 @z1rconium • 7 juli 2016 15:14

Ja, oké. Maar wat ik me dan afvraag:

- Wat zijn 'recent' versions? Vanaf Tiger? Leopard? Yosemite?
- Wat is volgens de schrijver het verschil tussen OS X en MacOS?

z1rconium @musje83 • 7 juli 2016 15:25

Sinds Lion (10.7.5)
OS X word macOS, beginned bij Sierra (10.12)

musje83 @z1rconium • 7 juli 2016 15:28

Bedankt voor de opheldering. Apart dat ze weer terug gaan naar MacOS, net als Microsoft met Windows Mobile -> Windows Phone -> Windows (10) Mobile. Lekker verwarrend

Keypunchie

Apple

@musje83 • 7 juli 2016 15:54

Ze hebben de naam OS X al 15 jaar gevoerd, dus wat dat betreft valt dat wel mee, toch?

hEgelia @musje83 • 8 juli 2016 00:04

Nou, het heette Mac OS X toen het uitkwam in 2001, werd OS X in 2012. Sinds 2007 heeft 't echter een 'nazaat' gekregen en inmiddels is de 'familie' verder uitgebreid. Als je vervolgens naar dit rijtje kijkt:

---------iOS
-------tvOS
--watchOS
----------OS X

Dan is macOS een duidelijke en logische herdoping

xiphoid @z1rconium • 7 juli 2016 16:20

Die bedrijven moet iets doen om geld te verdienen met hun anti dit en dat software. Valt weinig te doen met 1 of 2 mac dingetjes per jaar. Angst verkoopt. Feiten niet.

RGAT @Verwijderd • 7 juli 2016 16:11

Dus omdat het bedrijf zegt dat er geen backdoor is, is die er niet?

Microsoft zei dat namelijk ook, dan is Apple hun 'edge' dus aan het delen met MS volgens jouw redenatie...
Beveiliging is iets waar je nooit op aannames moet leunen, als Apple zegt dat ze niet stiekem iets doen, waar ze door hun overheid gewoon gedwongen kunnen worden dat wel te doen, betekent dat niets...

ronaldmathies @GWTommy • 7 juli 2016 13:40

Helemaal mee eens, dit is geen backdoor. Een backdoor zit als het goed is bij levering van de software / hardware al ingebakken?

Dit is op zijn hoogst een trojan.

ultimate-tester @ronaldmathies • 7 juli 2016 13:50

Precies, dit is EXACT wat een trojan doet. Definitie van Wikipedia:
Een Trojaans paard is in de computerwereld een functie die verborgen zit in een programma dat door de gebruiker wordt geïnstalleerd. Deze functie kan toegang tot de geïnfecteerde computer verschaffen aan kwaadwillenden en zo schade toebrengen aan de computergegevens of de privacy van de gebruiker

PS: Als de auteur dan toch al bezig is met de titel, kan hij ook meteen dat typefoutje meenemen ("so" ipv "zo" bij: "spam-e-mail, so schrijft ESET."). En nee, wijs me niet op de feedback knop, ik ga geen thread aanmaken voor zo'n klein dingetje.

[Reactie gewijzigd door ultimate-tester op 27 juli 2024 02:43]

Whatson @ultimate-tester • 7 juli 2016 14:12

Spel- en tikfoutjes - en dus *geen* andere foutjes - deel 44

Auteur

duqu @GWTommy • 7 juli 2016 13:56

Hoi! Je hebt gelijk, ik wilde backdoor nog in de titel verwerken op de plek waar eerst malware stond, zonder dat mij opviel dat daardoor de betekenis sterk verandert. Heb het aangepast.

GWTommy @duqu • 7 juli 2016 14:00

Helaas schrok ik me toch echt dood.
Ik vind het jammer van T.net steeds minder aandacht aan de nieuwsartikelen lijkt te besteden. De smashing headlines worden belangrijker dan de nauwkeurigheid. Ik snap dat "Apple" + "backdoor" heel interessant klinkt, maar wordt AUB geen NU.nl met zo snel mogelijk, zo veel mogelijk en zo overdreven mogelijk, zonder enkele vorm van poging tot inzicht krijgen in de zaak Apple-bash-nieuws plaatsen.

Auteur

duqu @GWTommy • 7 juli 2016 14:05

Excuses voor de schrik. Het noemen van de term backdoor in de titel kwam voort uit een poging zo volledig mogelijk te willen zijn en niet om het als een buzzword te gebruiken. Overigens is dat nooit de insteek als wij een titel voor een artikel schrijven.

SED @GWTommy • 7 juli 2016 14:55

Er bestaan backdoors ( Apple zal net als alle USA bedrijven met NSA mee werken) zoals deze:
https://truesecdev.wordpr...privileges-in-apple-os-x/

Pas na ontdekking worden die gefixed zoals ook in dit voorbeeld. Je kunt er dus gerust van uitgaan dat OSX nog diverse backdoors heeft. Misschien heeft men daarom de naam weer veranderd,, naar MacOs, dan heeft OSX geen backdoors meer

OddesE @SED • 7 juli 2016 16:25

Zoiets heet een lek.

Je hebt onbekende zwakheden: leaks of vulnerabilities.
Je hebt malware die zichzelf verspreid zonder tussenkomst van een gebruiker: virussen (peer 2 peer) en wormen (centrale, geinfecteerde server).
Je hebt malware die eerst geïnstalleerd moet worden: trojans.
Als een virus of trojan je bestanden gaat encrypten en gijzelen voor losgeld: ransomware.
Als het anderen toegang geeft is je pc een bot of zombie geworden.

Een backdoor is een door de fabrikant bewust ingebouwde trojan die de fabrikant (of partners) toegang geeft.

Edit: als je de clickbait titel van je gelinkte post negeert en echt leest zie je dat hij een standaard lek (waar er zoveel van zijn) gebruikt om een backdoor te creeren. Die backdoor was er nog niet. Alsnog een ernstig lek natuurlijk.

[Reactie gewijzigd door OddesE op 27 juli 2024 02:43]

comecme @OddesE • 8 juli 2016 12:33

Een backdoor creëren kan volgens jouw definitie niet. Een backdoor is immers door de fabrikant ingebouwd.

Imho is jouw definitie dus onjuist.

SED @OddesE • 8 juli 2016 15:33

Hij gebruikt vunerabilities om een backdoor API aan te spreken. lees het verhaal eens goed!
Verder ben ik het eens met comecme.. je definitie is nogal wat rammelig

TeleMax @GWTommy • 7 juli 2016 13:41

Volkomen mee eens. De titel van het bericht komt niet overeen met de inhoud van het artikel.

Boermansjo @GWTommy • 7 juli 2016 13:48

Dus een backdoor geïmplementeerd door Apple voor Apple is dan niet schokkend ?
Als Microsoft dat doet, zal Apple dat ook zeker wel doen. Vanaf je iets wil doen op Apple moet je itunes of icloud gebruiken... Je ga mij toch niet vertellen dat ze nooit scannen voor bepaalde keywords.

GWTommy @Boermansjo • 7 juli 2016 13:56

Je mist hier wel een belangrijke zaak: wat is een backdoor precies. Afin, wat het is weet ik wel, maar waar het voor gebruikt wordt. Als het gebruikt voor statistieken, etc, prima. Bovendien heb ik grote hoeveelheden bij Apple in iCloud staan, waar ze als ze willen toch zo bij kunnen. Ik heb dit niet voor niets daar staan: het is a) totaal triviale data en b) ik heb een prettiger gevoel bij Apple's businessmodel (geen ads).

Wat is dan een backdoor precies? Apple kan natuurlijk allerlei informatie van mij verzamelen dan die ik niet in de cloud wil hebben, maar call me stupid, ik heb door de mooie marketingcampagne rond de FBI-iPhone-terrorisme zaak toch echt wel wat vertrouwen in Apple opgebouwd rond deze praktijken.

In mijn ogen is een Apple backdoor voor Apple niet echt een backdoor te noemen (uitzonderingen daargelaten). Apple gebruikt zeg maar gewoon de frontdoor (aanname).

Boermansjo @GWTommy • 7 juli 2016 14:29

Ik dacht dat ja via backdoor toegang kan hebben tot een computer zonder dat de gebruiker dit weet of ziet. Als Apple de frondoor gebruikt mogen ze dat ook wel adverteren als je een ipad air koopt. Anders valt het voor mij onder een backdoor.

Nu het probleem van deze malware is niet verschillend dan een op Windows systemen... Misschien is Apple dan toch niet zo anders

OddesE @Boermansjo • 7 juli 2016 16:17

Zaken zoals gedeelde playlists, spul in iCloud e.d. wordt ook gewoon 'geadverteerd' door Apple, in de algemene voorwaarden.

Ik snap dat je een hekel hebt aan die praktijken (ik ook), maar het is toch wel heel wat anders dan een backdoor.

johnkeates @GWTommy • 7 juli 2016 14:55

Er kloppen wel meer dingen niet:

- Gatekeeper kan je niet negeren, die kan je alleen uitzetten in oude OSX versies en alleen overriden als je control gebruikt om je bestand te openen en daarna nog in een dialoogvenster het ding toestaat

- Rootrechten krijgen zegt tegenwoordig niet zo veel gezien OSX by default rootless draait. Als root kan je dus nog steeds geen systeembestanden wijzigen, en root zijn geeft je geen rechten om een keychain te lezen om dat een keychain gecodeerd is en het wachtwoord van de gebruiker per los item nodig heeft om ze te decoderen. Het is dus key gebaseerd en niet 'als je maar genoeg rechten hebt'.

Om dat het XProtect en de XProtect updater niet kan uitschakelen (want rootless SIP maakt dat niet meer mogelijk by default) is dit in no-time van je systeem verwijderd als het in het wild gebruikt wordt voor malafide doeleinden.

Eigenlijk is dit dus gewoon 'een programma', maar dan met slechte bedoelingen. Het doet niks speciaals zoals exploits gebruiken, lekken in het systeem misbruiken of andere zaken, maar is een uitvoerbaar bestand, dat je zelf moet opstarten, zelf expliciet toestemming moet geven, zelf je wachtwoord moet geven en zelf moet laten draaien (en dus niet moet afsluiten) om het te laten werken. Al met al vrij slappe hardware dus ;-) Gewoon TeamViewer installeren en met default settings laten draaien is een stuk erger

SED @johnkeates • 8 juli 2016 15:35

Als je in gatekeeper ( install from) "anywhere" aanvinkt is de functionaliteit vrijwijl nihil
zie bijv: http://its.uiowa.edu/support/article/4038

johnkeates @SED • 8 juli 2016 15:39

Ja, maar dat kan in macOS dus niet meer, en in oudere versies is het ook niet de standaard.

SED @johnkeates • 8 juli 2016 15:44

Ik lees daar bij Apple niets over. Zie: https://support.apple.com/en-us/HT202491
Los daarvan is Sierra nog niet eens verkrijgbaar. Onzinnige reactie dus!

los daarvan kan ook in sierra dit uitgezet worden, heel simpel

However, if you are a true warrior and would like to change the default Gatekeeper behavior in Sierra, there is a quick fix for that.

Simple run this command on terminal:

sudo spctl --master-disable

Note on spctl: spctl is a command line tool to manage signing for Gatekeeper. This file modifies the information stored in /var/db/SystemPolicy.

Now when you open Gatekeeper, you will see “Anywhere” option.

en voila de optie is weer terug.

In sommige oudere versies was anywhere zelfs default.

he default setting for Gatekeeper in OS X Lion v10.7.5 is "Anywhere".

[Reactie gewijzigd door SED op 27 juli 2024 02:43]

johnkeates @SED • 8 juli 2016 16:29

Laten we het dan weer in z'n algemeenheid zeggen: zolang de gebruiker geen idiote onveilige dingen doet is het programma niet in staat iets stouts te doen.

Dat gelt dan weer overal en voor elk OS, en daarmee is elke discussie en reactie onzinnig. Dus als je die kant op wil, dan kan dat.

Apple heeft in Sierra inderdaad de optie uit de GUI gehaald, dat is dan ook wat ik schreef, en niet "in 10.11" ofzo. In hele oude versie waarin Gatekeeper sowieso niet goed werkte was het inderdaad op everywhere ingesteld, maar was in elk geval Finder's file quarantaine wel ingeschakeld, wat een beetje op Windows z'n download file blocking lijkt. Doet niets speciaals, behalve een waarschuwing geven voor gedownloade binaries, iets wat je bij een plaatje nooit zou moeten krijgen, wat een gebruiker dus al een hint zou moeten geven dat er iets niet klopt.

Qua beveiliging uitschakelen: ja, dat kan met spctl, maar dat is niet iets wat een doorsnee gebruiker zelf zou verzinnen. Net als dat je met rootless=0 niet gaat booten, of met csrutil SIP gaat uitschakelen vanaf je recovery omgeving zodat je rootless mode uit zet. Natuurlijk kan je alle beveiliging uitschakelen, XProtect is bijvoorbeeld ook maar gewoon software. Dus als je SIP/rootless uit zet kan je het gewoon wissen. Gatekeeper kan je ook gewoon uit zetten, en de Firewall, ach, die mag ook wel weg. Hell, je kan ook telnet zonder user auth aanzetten of meteen met netcat en ngrok een gratis open shell aanbieden en het op reddit/pastebin/imgur/irc aankondigen. Het kan allemaal.

Maar of dat nou nog wat te maken heeft met de verzwaarde nieuwsberichten over 'malware' die eigenlijk uit zichzelf niks kan is de vraag nog maar...

[Reactie gewijzigd door johnkeates op 27 juli 2024 02:43]

SED @johnkeates • 9 juli 2016 18:13

Ik weerleg alleen je stellingen en probeer aan te geven dat ook voor macs gevaarlijke malware bestaat. Dat is de enige ´kant die ik op wil¨.
Rare settings doen helaas alle gebruikers. Tools downloaden om UAC te disablen omda tmen zich stoorde aan security medlingen werden vele duizenden keren gedownload. Werken als root onder linux, niets is de gebruiker te gek.
En verder: gevaar ontkennen geeft alleen maar meer ruimte aan malware bouwers.

johnkeates @SED • 9 juli 2016 18:46

Het is niet dat er geen gevaar is, maar dat deze malware niet uit zichzelf als als drive-by exploit iets kan doen. Het gevaar van deze software is hetzelfde als iemand een mailtje sturen met 'als je sudo rm -fr / doet win je 99999 euro!!1!1!!oneone". Er zijn altijd wel mensen die het doen, maar uit zichzelf doet het niks.

SED @johnkeates • 9 juli 2016 20:39

Misschien moet je deze reeks bijdragen nog eens goed doorlezen. Mogelijk da tje het gevaar dan snapt. Hoe dan ook:
Bagatelliseren van gevaar blijft een domme houding.

johnkeates @SED • 9 juli 2016 21:26

Probeer je nou nog steeds een punt te maken dat niet bestaat? Niemand hier bagatelliseert gevaar, en het heeft ook geen zak met het onderwerp van het artikel te maken.

Als je niet snapt hoe je reacties moet lezen of overal een wedstrijd van wil maken moet je misschien wat minder reageren, of voor de spiegel in plaats van hier.

SED @johnkeates • 9 juli 2016 21:47

iemand die structureel onzin verkoopt hier over wat er wel en niet kan met gatekeeper verdient het van repliek voorzien te worden.
Ik heb al aangetoond hierboven dat je opmerkingen en inschattingen verkeerd zijn. Leer daarmee omgaan of kies een andere hobby.
( of kies een OS dat je wel begrijpt en niet vanuit verkeerd begrepen techniek loopt te verdedigen)

johnkeates @SED • 9 juli 2016 22:02

Dat is misschien jouw perspectief, in de echte wereld en in productieomgevingen ligt het bewijs niet bepaald aan jouw kant.

SED @johnkeates • 9 juli 2016 22:09

Ik heb geen flauw idee welke zijweg je van he tonderwerp af nu weer wilt gaan bewandelen.
Linux is het meestgebruikte os op allerlei apparaten, Windows veruit de grootste in productieomgevingen en Apple richt zich steeds meer op individuele consumenten en nie top productieomgevingen. Daarom zijn ze ook met zware workstations en servers gestopt.
Maar los van dit zinloze afleidingspad heb je ook hier weer geen argumenten.
EOF dus maar. Met ifans discussie aangaan is erg vermoeiend en volkomen zinloos. Een Jehova bekeren gaat gemakkelijker.
Veel succes met je monoloog.

CEx 7 juli 2016 13:24

Het was natuurlijk te verwachten dat password managers een duidelijk target worden. Zeker i.c.m. opslag in de Cloud (want dan kan ik er altijd bij).

Pendora 7 juli 2016 13:36

Er wordt dan wel een waarschuwing door de Gatekeeper-beveiliging getoond, omdat de software niet ondertekend is.

Dus deze malware werkt pas als je handmatig het bestand met de rechtermuisknop opened of dat je de standaard instellingen hebt aangepast wat van 10.12 niet meer mogelijk is. Voor verreweg de meeste mensen zal dit bestand niks kunnen doen omdat ze de instellingen niet aanpassen.
Er wordt in deze situatie geen wachtwoord gevraagd overigens. Als je de instellingen niet hebt aangepast krijg je alleen de optie annuleren.

[Reactie gewijzigd door Pendora op 27 juli 2024 02:43]

Squ1zZy 7 juli 2016 13:39

Als ik een bestand heb met test.pdf en er een spatie achter zet kijkt OS X dus naar de magic number (https://en.wikipedia.org/wiki/List_of_file_signatures) van het bestand en bepaald aan de hand daarvan wat het bestand is?

Net getest: Als je zo bijvoorbeeld een PDF bestand van een spatie voorziet, ziet het OS dus dat het om een PDF bestand zou gaan (25 50 als magic number).

Er gaan bij IT-ers natuurlijk wel lampjes branden als gatekeeper omhoog komt, maar dat zal bij veel gebruikers niet het geval zijn.

JanvdVeer 7 juli 2016 13:46

Net zoals de Eleanor malware van afgelopen week wordt ook de Keydnap malware opgemerkt door BlockBlock, een open source security tooltje van Objective See. Onmisbaar voor elke Mac-gebruiker imo

Twitter - @objective_see

wut?! more new malware! OSX/Keydnap. BlockBlock generically flags!

source

By design BlockBlock doesn't try to determine if something is malware or not; it simply alerts anytime anything tries to persist. So more often than not, the alert is simply due to some legitimate software performing an install. However, it's still wise to examine the item that is persisting.

[Reactie gewijzigd door JanvdVeer op 27 juli 2024 02:43]

Verwijderd 7 juli 2016 13:39

Apple Keychain is erg handig want je hebt een mooi overzicht van je wachtwoorden, Wifi netwerken en dergelijke. En met iCloud maakte dat (in theorie) nog handiger door te synchroniseren met diverse apparaten. Maar ik was altijd wel bang voor dit soort acties. Hou dat soort dingen liever lokaal. Zelf ben ik een fan van 1password (dan dan ook weer lokaal synchroniseren).

Ik hoop dat Apple snel met een fix komt want de gemiddelde gebruiker ziet dit natuurlijk niet.

OkselFris @Verwijderd • 7 juli 2016 13:58

Je lost niks op met ' lokaal houden' want Keychain houd je gegevens ook lokaal en synchroniseert net zoals 1Password je gegevens via een cloud oplossing. Dit kan je aan of uit zetten.
De malware wordt ook lokaal uitgevoerd.

Ongetwijfeld zal er een update voor Xprotect komen welke dit detecteert

Whatson @Verwijderd • 7 juli 2016 14:19

Uh iCloud sync uitzetten gaat niet helpen, je wachtwoorden worden lokaal gestolen, niet online. Iemand breekt lokaal in op je pc en kopieert je Keychain.

Gersomvg 7 juli 2016 13:24

Gelukkig zit ik al enige tijd op 1Password. Laten we er maar even vanuit gaan dat dat veiliger is voor nu... Apple Keychain begon sowieso al antiek aan te voelen.

ronaldmathies @Gersomvg • 7 juli 2016 13:29

Of iets mooi is of niet zegt niets over de kwaliteit. Linux is naar mijn idee inherent stabieler en veiliger dan Windows. Maar Windows ziet er UI technisch veel beter uit.

Yannick97 @ronaldmathies • 7 juli 2016 13:30

Dat niet alleen, maar op het moment dat er met 1 wachtwoord in een database ingelogd kan worden waar al je wachtwoorden staan. Dan is het toch ook niet veilig?

Verwijderd @Yannick97 • 7 juli 2016 13:34

Daar heb je natuurlijk two step authentication voor. Als je dat niet aanzet op zo'n mega wachtwoorden database ben je ook wel een klein beetje raar bezig.

Samplex @Verwijderd • 7 juli 2016 13:42

1Password biedt geen 2FA.

As for two-factor authentication (2FA), 1Password works through encryption, not through authentication. It can be a subtle distinction outside of cryptography, but it is critical to understanding why 2FA is not something that applies to 1Password. 1Password does not even do one-factor authentication. It does no authentication at all.

Verwijderd @Samplex • 7 juli 2016 13:50

Dus als iemand je 1Password wachtwoord kent ben je gewoon de spreekwoordelijke sjaak, of mis er iets?

xelnaha @Verwijderd • 7 juli 2016 13:56

Nee,

Men gebruikt bij 1password een account key waarbij je master password + token op je device == account key. Schijnbaar is dit veiliger dan 2factor:

https://support.1password.com/understanding-account-key/

Verwijderd @xelnaha • 7 juli 2016 13:59

Dus ze hebben wel (een vorm van) multifactor authentication.
Het leek me al raar dat je account leunde op enkel een wachtwoord.

xelnaha @Verwijderd • 7 juli 2016 14:01

Niet echt, lees dat en white paper maar door,

er is geen authenticatie, aka MAG je wel bij de encrypted data komen? Dit vormt onderdeel uit van je encryption key, en dus geen authenticatie.

de white paperss leggen het beter uit dan ik

[Reactie gewijzigd door xelnaha op 27 juli 2024 02:43]

Verwijderd @xelnaha • 7 juli 2016 14:06

Ja ik was er al achter dat ze beveiliging überhaupt anders benaderen. Dat is verder prima, het gaat uiteindelijk om het resultaat en dat is dat je een veilige wachtwoordendatabase hebt.

Yannick97 @Verwijderd • 7 juli 2016 15:03

Was 2 stap authentication helemaal vergeten, als is dit ook wel een mooie manier van authentificatie

Blokker_1999

Netwerk en systeembeheer
Apple
Security

@ronaldmathies • 7 juli 2016 13:49

Ik durf toch beweren dat de stabiliteit en veiligheid van Windows vandaag op het niveau van Linux zit. Zowat alle problemen zijn terug te brengen naar third-party apps en daar kan je het OS niet voor verantwoordeiljk stellen.

Verwijderd @ronaldmathies • 7 juli 2016 13:33

Maar Windows ziet er UI technisch veel beter uit.

Als je de server console vergelijkt met een gui wellicht, met Compiz kan je hele mooie dingen hoor.
Moderne GUI's kunnen prima concurreren met Windows, zeker sinds Windows 8 en 10 grafisch juist veel simpeler zijn geworden ten opzichte van de voorgangers.

Verwijderd @Gersomvg • 7 juli 2016 14:21

Op basis waarvan denk je dat 1Password veiliger is?

Gersomvg @Verwijderd • 7 juli 2016 16:43

Ontzettend actieve support en veel updates. Maar dat blijft uiteraard een vermoeden, want dat kunnen net zo goed louter cosmetische updates zijn.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (110)

Sorteer op:

Weergave: