Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers verspreiden besmette versie Mac-app Handbrake via mirrorserver

Door , 117 reacties, submitter: MikeyV

Hackers zijn er in geslaagd vier dagen lang een versie van HandBrake voor Mac met trojanmalware te verspreiden via de officiŽle site van de populaire videotranscoder. Dat gebeurde door een mirrordownloadserver binnen te dringen.

Wie HandBrake voor Mac tussen 2 mei 16:30 en 6 mei 13:00, Nederlandse tijd, heeft binnengehaald loopt een kans van 50 procent dat de app besmet is met de variant van de Osx.proton-trojan, waarschuwen de makers van de software op hun site.

Het advies aan gebruikers is om de sha1/sha256-hash te verifiëren voor ze de app installeren. Wie de app in de betreffende periode heeft binnengehaald en al heeft geïnstalleerd, kan detecteren of een besmetting heeft plaatsgevonden aan de aanwezigheid van een 'Activity_agent'-proces in de Activity Monitor, de naam 'activity agent.app in ~/Library/RenderFiles/ en het plist-bestand '~/Library/LaunchAgents/fr.handbrake.activity_agent.plist'. Het team van Handbrake geeft instructies hoe de malware handmatig is te verwijderen.

Hackers verkrijgen beheerdersrechten op machines door gedupeerden in te laten loggen met een nep-authenticatievenster, schrijft Objective-see. Eerder dit jaar verkochten malwaremakers een variant van Proton. Daaruit bleek dat de malware onder andere toetsaanslagen kan bijhouden, screenshots kan maken, ssh/vnc-verbindingen kan opzetten en op de achtergrond updates over-the-air kan krijgen.

Apple heeft inmiddels een XProtect-handtekening uitgebracht om nieuwe infecties te voorkomen.

Reacties (117)

Wijzig sortering
Snelle ontdekking en vlotte actie om het af te kappen.
Ook zeer goed dat het vrijwel direct publiekelijk gemaakt wordt, en een ieder die zijn/haar twijfels heeft ook meteen zelf actie kan ondernemen, indien zij het gedownload hebben.
Ter info, er is een soort little snitch die detecteert en waarschuwt of er bepaalde systeemsoftware wordt geÔnstalleerd (KEXT, systeem extensions,etc) . Het kan de installatie van dit soort software voorkomen. Het heet blockblock van objective-see, en het is gratis.

https://objective-see.com/products/blockblock.html

Samen met filevault, little snitch, malwarebytes, een gratis virus scanner en een firewall houd ik m'n mac redelijk veilig.

Objective-see heeft nog andere mac-beveiligings programma's.

https://objective-see.com/index.html

2cts

[Reactie gewijzigd door obimk1 op 8 mei 2017 11:57]

Snelle ontdekking? Bedoel je dit extreem sarcastisch? Want als je bedenkt hoeveel mensen zo'n programma willen/kunnen downloaden in 4 dagen.. Bovendien kun je precies zien in de logs of er wijzigingen zijn aangebracht in de FTP-server. Moet je natuurlijk wel controleren.

[Reactie gewijzigd door AnonymousWP op 8 mei 2017 07:59]

Om even iets te nuanceren...
Het gaat zoals in het artikel benoemd, om mirror servers. Dit zijn geen servers die in beheer zijn van de ontwikkelaars van Handbrake, maar servers van derde partijen. Deze servers maken eens in de zoveel tijd verbinding met de servers van Handbrake zelf, om hier de nieuwste data van te downloaden (mirrorren/een mirror maken).

Hierdoor is het voor de makers van Handbrake al veel lastiger om te detecteren, aangezien het niet om een server in hun beheer ging. De beheerder van de server(s) in kwestie heeft het eerst moeten opmerken, waarna het naar de ontwikkelaars gecommuniceerd kon worden, waarna de ontwikkelaars pas een plan van aanpak konden opstellen. En zodra de beheerder van de server dit door heeft, zullen zijn prioriteiten ook niet direct liggen bij het direct inlichten van partijen zoals Handbrake.
het is al de 2de keer dat zo iets gebreurd... Ik hou van handbreak gebruik het al een jaar of 10? maar het maakt me wel zorgen ... ik wil eigenlijk niks via de store van apple kopen , maar op deze manier wordt je toch wel een beetje gedwongen die kant op te gaan.....
En het gaat jouw hobby zijn om alle serverlogs realtime in de gaten te houden voor alle populaire open source projecten?
Dus ik denk niet dat dit extreem sarcastisch bedoeld is.

Een wijziging hoeft daarbij natuurlijk niet over FTP te lopen, vele andere manieren waarop dit kan gebeuren natuurlijk. Zelfs manieren waarop er niets in een log terug te vinden valt. Dan kun je ook alle bestanden met regelmaat zelf downloaden om de sha1/sha256 hash zelf te vergelijken. Maar ook dan heb je geen zekerheid, want de versie die jij geserveerd krijgt hoeft natuurlijk niet dezelfde te zijn.

[Reactie gewijzigd door JDVB op 8 mei 2017 08:09]

dat hoef je niet zelf te doen, zijn legio programmas voor.
rkhunter comtroleerd op bekende rootkits, tripwire houdt bv checksums bij van geinstalleerde pakketten op een externe server waardoor de hacker vrij snel door de mand valt.

officiele repos hebben hun pakketten van een certificaat voorzien dus al zou een hacker de repo overnemen dan kan hij niet zijn eigen pakketten neer zetten want dan gaat de packagemanager klagen.

maar goed,
OSX is geen linux en gebruikt geloof ik niet eens een package manager maar veelal moeten gebruikers op internet gaan zoeken naar software om te downloaden of zo iets raars...

overigens maken veel mac gebruikers weldegelijk gebruik van linux packetten uit een backport repo zoals homebrew, maar geen idee hoe die hun security geregeld hebben.
Het is voor de meesten geen hobby. En het is vaak niet gemakkelijk. Maar in deze tijd wel een vereiste als je bepaalde diensten aanbiedt. Het is jammer dat het voor ťťn individu best moeilijk is om een bedrijf/website, dat jou malware of iets dergelijks heeft geserveerd, aansprakelijk te stellen. Terwijl de wet daarin voorziet:
https://www.security.nl/posting/484315/Juridische vraag: wie is aansprakelijk voor schade door malware op een website?
Gaan veel foss projectjes kapot als ze daarop genaaid worden door mensen die hun gratis software gebruiken.
Een realtime controle hier op is voor een open source programma niet haalbaar, als ik kijk naar bedrijven waar ik kom waar ze dit doen dan hebben ze ongeveer 1000 meldingen per minuut. Deze worden dan door algoritmes verwerkt of ze onderzocht moeten worden. Dus ik vindt het heel mooi om te zien dat een open source programma het zo snel wordt gevonden, opgelost en gecominuceerd naar iedereen.
Klopt, maar een firewall houdt ook al veel tegen. De firewall blokkeert niet alle verbindingen, maar alleen de kwaadaardige (of degene die als spamming worden gezien).

Waarom is het "snel" volgens jou? Kijk hoeveel slachtoffers je kan maken in 4 dagen. Er zijn toch vast wel algoritmes om te kunnen zien of er - zonder dat jij het weet - bestanden worden veranderd op de server, zonder dat jij dat bent?
De hackers hadden beheersrechten op de server. Daarnaast houdt een firewall dit niet tegen.

[Reactie gewijzigd door JackBol op 8 mei 2017 08:56]

Dat snap ik, maar de eigenaren van de servers hebben nog steeds toegang (tenzij het wachtwoord is veranderd natuurlijk).
De beheerders hadden schijnbaar niet door dat hun server geroot was, anders hadden ze wel eerder opgetreden.

Verder is logfiles checken dus zinloos, aangezien je met root access de logs kan opschonen.

[Reactie gewijzigd door JackBol op 8 mei 2017 09:00]

Als er wordt ingelogd met admin op zo'n missie kritieke server dan moet er toch een belletje gaan rinkelen? Letterlijk een mailtje met IP adres, tijd en datum was al voldoende geweest om te kunnen zien dat er iets aan de hand was.
Behalve als dit mailtje wordt tegengehouden door de hackers. Of de policies op die server toch wat minder strict werden gevolgd.
Moeten ze wel eerst weten dat er een mail wordt verstuurd. Dat soort dingen zijn lastiger te voorspellen dan je denkt.
Nou nee, een beetje hacker gaat daar gewoon standaard vanuit :P
Daarom wordt er ook vaak als first line of defense bijvoorbeeld op alternatieve wijze ingelogd, zodat bijvoorbeeld het profiel niet ingeladen wordt - gezien er nog steeds zat luie f****** zijn die zulk soort mailtjes niet op basis van authenticatie laten werken. :+

Het probleem is alleen dat een rootkit vaak meekomt met een beheerder. Dan zijn er dus geen rare logins...

[Reactie gewijzigd door WhatsappHack op 8 mei 2017 12:18]

Wat nu als de beheerders via de stepping stone kwamen? Dat is een bekend IP adres in het netwerk.

Ontdekken dat je geroot bent is echt niet makkelijk.
2FA met TOTP? Er zijn genoeg mogelijkheden om verschillende authenticatielagen toe te voegen die allemaal lastig kraakbaar zijn.

Eerst VPN laag met bv L2TP/IPsec. Shared secret en user password combi.
Die laag alleen gebruiken om rdp sessie op te kunnen zetten (nog een keer username en password) en dat dan gebruiken om wijzigingen te kunnen doen binnen een VM met 2FA vergrendeling.

Dan ben je al heel veel verder wat betreft informatie die buiten je bedrijf moet geraken wil je er iets mee kunnen. Of de gebruikte protocollen zijn zo lek als een mandje.

Nu is L2TP vrij solide dus daar verwacht ik niet zoveel narigheid mee.
Alsnog vind ik 4 dagen achterlijk lang duren.
Dat ben ik met je eens, maar een goeie root is moeilijk te detecteren.

[Reactie gewijzigd door JackBol op 8 mei 2017 09:01]

Ik denk dat je niet helemaal door hebt wat een firewall doet. Een firewall laat verbindingen toe naar het netwerk. Een netwerk met een beetje groote heeft al snel een aantal poorten open staan zoals ftp, http, https, enz.

Als er een verbinding binnen komt bij de firewall kijkt het apparaat of de poort open staat en of het gebruikte protocol klopt.

Hier nog wat lees voer over firewalls: https://www.security.nl/posting/10059/Hoe+werkt+een+firewall

En ja er zijn inderdaad algoritmes om te controleren of de files gewijzigd zijn. Maar deze algoritmes draai je normaal niet standaard op je webserver omdat die anders herschreven kunnen worden door de hackers. Ik kan dan ook niet in het budget van de makers kijken, daarnaast als het is gedetecteerd moet eerst het lek opgelost worden zodat het niet meteen weer veranderd wordt, anders is het dwijlen met de kraan open.
Dat is toch precies wat ik zeg? :')
Ik weet prima wat een firewall is. Waarom zou ik over iets praten waarvan ik geen verstand heb?

Je zegt exact hetzelfde als ik, namelijk " Een firewall laat verbindingen toe naar het netwerk." Komt bijna overeen met wat ik zeg: "De firewall blokkeert niet alle verbindingen, maar alleen de kwaadaardige (of degene die als spamming worden gezien)." Met spam bedoel ik bijvoorbeeld inlogpogingen.
Punt is dat een firewall hier weinig tot niks mee te maken heeft. Je hebt een vorm van antirus nodig om dit soort dingen te vinden.

Hooguit de allereerste breach waar ze de mirrorserver hebben overgenomen, daar zit wel wat werk voor een firewall in en heeft blijkbaar geen belletjes laten rinkelen (afhankelijk van hoe ze precies zijn binnen gekomen, ook grote kans dat daar de firewall gewoon vermeden wordt door bijv mee te liften op een sessie van een admin).

Maar als gebruiker in dit verhaal gaat firewall sowieso niet helpen. Dus het is een raar verhaal om over firewalls te beginnen. Dus ik begrijp Ikke18's reactie volkomen.
Nope; dat is niet wat een firewall doet, duidelijk dat je het dus niet weet. Als er detectie algoritmes inzitten dan praten we al snel over IPS. Een traditionele firewall doet tevens niets met spamming. En wat jij 'spam' noemt heet 'hammering' (Nog een bewijs). Een firewall laat slechts een voorgeselecteerd aantal poorten door, en schermt de rest af.

[Reactie gewijzigd door Thunderhawk op 8 mei 2017 13:22]

Ze zouden natuurlijk code signing (correct) toe kunnen passen. De mirror zou de private key van het certificaat echt niet moeten bevatten.
Een geluk bij een ongeluk was dat maar een deel van de downloaders risico op besmetting hadden. Het was ťťn van de mirror downloadsites die gehackt was. Bovendien zijn de gebruikers van het programma die de update vanuit het programma deden niet besmet. Dit is de normale manier om het programma te updaten. Als je het programma opstart en het een tijd niet gebruikt heb, dan krijg je een melding dat er een nieuwe versie is. Het framework (Sparkle) dat hiervoor zorgt maakt gebruik van code signing.
Het verbaast me dat dit niet binnen een dag wordt ontdekt. Geen enkele gebruiker die bij het download een virus warning kreeg en het gemeld heeft?
Nouja gek genoeg is de mythe dat er voor een Mac geen virussen/malware is erg hardnekkig, dus waarom een virusscanner/antivirus gebruiken?

Dit argument krijg ik iig meerdere keren per week te horen van mensen :(
En wat had zo'n AV software dan gedaan? Juist niks, net zoals de vorige keer er een virus was voor de Mac en AV software het niet herkende. Het is eerder een mythe dat AV software de installatie van malware op een Mac zal voorkomen.

[Reactie gewijzigd door monojack op 8 mei 2017 19:46]

Als je malware met de hand installeert is het geen virus. Aangezien een kenmerk van een virus is dat het zichzelf verspreidt. Daarnaast hebben macs wel malware bescherming met xprotect.
Dat is een beetje kort door de bocht. In de begintijden al werden virussen voor bijvoorbeeld MS-DOS aan *.exe/*.com bestanden toegevoegd door een virus op een besmette computer. Als deze besmette *.exe/*.com bestanden op een schone pc werden gestart, bijvoorbeeld vanaf diskette, dan werden alle *.exe/*.com bestanden op deze pc ook besmet. De handeling voor het starten van het virus gebeurde dus door de gebruiker zelf. Of je dit process nou installeren of starten noemt maakt daarin geen verschil. Er wordt namelijk een executable bestand gestart. Een virus kenmerkt zich er enkel in het feit dat het tracht zich over andere bestanden te verspreiden. Het definieert niet hoe dit process dit stand komt. Het maakt dus geen verschil of dit nu gebeurd door een zero-day lek of door een argeloze gebruiker die denkt de nieuwste versie van Lightroom te installeren. Leesvoer: https://nl.wikipedia.org/wiki/Computervirus
Het verschil daarbij is op macs alleen anders. Virussen zijn daarbij vrij slecht te krijgen. Een van de meest recente voorbeelden was dmv een flash applicatie die elevated rights kon gorceren door een lek.

Het probleem voor virussen is namelijk dat ze vrijwel niets kunnen op OSX en linux zonder die rechten dankzij sandboxing.

Daarom kan ook bij het voorbeeld hierboven heel eenvoudig infectie voormomen worden door even na te denken. Waarom heeft een applicatie als Handbrake root nodig? Alle resources die nodig zijn kunnen namelijk zonder ook aangesproken worden.

Het invoeren van je password is daarom ook iets wat je zelf kunt weigeren en dan is er niets aan de hand.

De toelichting die jij a.d.h.v. wikipedia geeft is dan ook niet volledig juist. Er is wel degelijk een verschil tussen opstarten en installeren.

Bij het opstarten van een applicatie bundle op OSX hoef je namelijk nooit admin rechten af te geven. Het is namelijk een sandboxed app die alleen draait met de laagst mogelijke rechten. Wilt een app dit wel dan is er of iets aan de hand (zoals hier het geval) of wil de ontwikkelaar schrijven naar directories waar hij eigenlijk beter vanaf kan blijven.

Een virus wil derhalve dan ook onopgemerkt blijven terwijl een malware applicatie er juist vanuit gaat dat de gebruiker geen idee heeft wat hij doet en er maar klakkeloos intrapt. Een virusinfectie kan je dan ook niets anders tegen doen dan antivirus gebruiken en verstandig omgaan met webresources. Voor malware moet je toch wat harder nadenken, maar dit heb je dan dus ook zelf in de hand.

Dit zie je dan ook heep erg terug bij iOS, waar rechten pas echt gevraagd worden als je de bijbehorende functie wil gebruiken. Zo kan je prima FB gebruiken zonder dat zij toegang hebben tot camera, microfoon en je contacten en zijn deze rechten niet met elkaar verbonden. Wil je een foto uploaden dan kan je dat dus aangeven los van de microfoon en contacten. Dit beleid zorgt dan ook voor een veel veiliger applicatie landschap en dit zien andere partijen ook. Een van de grote heikelpunten bij Android apps was bijvoorbeeld dat iedere app om 1001 rechten vroeg en je niet kon aangeven dat een app alleen maar toegang tot de camera mocht hebben. Het was of alles of niets.

Derhalve stond er vroeger ook veel malware in de store verpakt als legit app. Een camera app die ook toegang wilde tot de contacten en sms functie kon niet werken als je dit niet ook toestond. En zie daar. Je telefoonrekening wordt immens door de grote hoeveelheid spam die je verstuurd met die app (bijvoorbeeld).

Dit heb je echter wel zelf toegestaan terwijl een virus dit zelf voor elkaar bokst.

Er is dus een reden waarom Malware begint met "mal". Dit staat voor malicious, wat betekent dat de intenties anders zijn dan wordt voorgehouden.

Dus ja virussen en malware zijn verschillende dingen. Het ene is echter makkelijker tegen te gaan dan het andere.

Van handbrake weet ik bijvoorbeeld dat ze geen root nodig hebben en dus zou ik ook nooit mijn password hebben ingevoerd. Zodoende kan de infectie niet correct plaatsvinden en kan ik toch zonder (iig vele malen lager) risico van de beoogde functionaliteiten gebruik maken.
Het gaat er echter om dat er gesteld werd dat: een virus niet een virus kan zijn als deze met de hand gestart wordt. Dat is pertinent onjuist. Je moet enkel kijken naar de kenmerken van een virus. Een virus kenmerkt zich dat het zich wilt verspreiden. Of je hier nu "immuun" voor bent omdat je een virusscanner hebt, doet niets aan het feit af dat het een virus is.

Dus als jij verleidt wordt om een bestand te starten waarvan je denkt dat het een installatie bestand is, en misschien ook nog je wachtwoord invoert en het virus zich verspreid over de andere bestanden dan is dit een virus.

Een virus is malware, maar malware is niet per definitie een virus.
Net zoals brood eten is, maar eten niet per definitie brood is.

Dat een virus op iOS of macOS of linux of bsd of welk ander besturing systeem niet veel aan kan richten door sandboxing doet weinig af aan het feit of het een virus is.

Neem het volgende voorbeeld. Je onderzoekt organische virussen in een laboratorium. Je doet dit in een afgesloten ruimte (lees sandbox) zodat je zeker weet dat het virus zich niet verder kan verspreiden in het lab. Je hebt dan nog steeds te maken met een virus. Het is niet dat omdat het virus zich niet meer kan verspreiden het plots geen virus meer is.
Ik zie alleen niet dat er ergens gesteld worddat een virus niet een virus kan zijn als deze met de hand gestart wordt. Alleen dat een installatie er voor zorgt dat het geen virus is, maar malware.

Een virus komt binnen dankzij welke handeling dan ook en zal zichzelf dan installeren door gebruik te maken van aanwezige mechanieken (exploits) die er voor kunnen zorgen dat het virus zich geheel kan nestelen in het systeem met alle mogelijke rechten. Net zoals een normaal virus. Hoe het binnenkomt is totaal niet van belang dat ben ik met je eens, maar hoe het zich verder verspreid en gedraagt is een groot verschil.


Derhalve is een virus geen malware. Beide termen staan los van elkaar en hebben niets met brood eten en een koe is een dier maar niet elk dier is een koe te maken.

Het verschil is alleen dat malware lui is en je gewoon vraagt om de rechten terwijl virussen aggressief zijn en zich die rechten gewoon toeeigenen. Dat laatste is alleen vrijwel onmogelijk op een mac of linux systeem. Naar mijn weten nu dus twee keer in totaal (flashback en flashback 2). Malware komt echter veel vaker voor. Zo ook nu weer. Gewoon vragen om rootpassword en je krijgt hem vrijwel altijd.
Sorry hoor maar nu sla je de plank volledig mis. Lees dit a.u.b.

https://antivirus.comodo....viruses-whats-difference/

Ik ga het hierbij laten...
Als je alles uit de App Store haalt is de kans dat je ooit een virus op je Mac krijgt nihil.
Hoef je mij niet uit te leggen, bij elk platform de kans op dan iig een stuk kleiner. Helaas staat niet alles in een appstore of zijn mensen gewoon eigenwijs/willen ze het gratis of ....*vul iets in*.

Het ging mij er meer om dat het een mythe is dat er voor een Mac geen kwaadaardige software is. En als mensen denken dat iets er niet is letten ze in mijn ervaring gewoon helemaal niet op.
Hoef je mij niet uit te leggen, bij elk platform de kans op dan iig een stuk kleiner. Helaas staat niet alles in een appstore of zijn mensen gewoon eigenwijs/willen ze het gratis of ....*vul iets in*.
Mac OS blokkeert standaard dat je Apps buiten de Store om installeert. Je moet daadwerkelijk een extra handeling ondernemen om een dergelijke App te installeren. En in die gevallen moet je ervoor zorgen dat je zeker weet dat de App veilig is. Maar hiervoor is het niet nodig / wenselijk dat er continu een virusscanner resources staat te verbruiken.
Het ging mij er meer om dat het een mythe is dat er voor een Mac geen kwaadaardige software is. En als mensen denken dat iets er niet is letten ze in mijn ervaring gewoon helemaal niet op.
Okť, daar heb je gelijk. Maar zo zie ik het ook. Enkel zie ik het tegenovergestelde ook. Veel mensen / systeembeheerders die angstvallig AV-software op Macs aan het installeren gaan.
Mac OS blokkeert standaard dat je Apps buiten de Store om installeert.
Mac OS blokkeert standaard geen software van buiten de Mac Store, standaard wordt alleen software zonder signature geblokkeerd.

Dat kun je natuurlijk uitzetten maar dat is niet aan te raden, je kunt het beter voor die enkele app die niet ondertekend is toestaan.

Je kunt er inderdaad voor kiezen om alleen software uit de Mac Store toe te laten maar weinig mensen zullen dat uit zichzelf doen. Dat is meer iets voor beheerders die het met policies afdwingen voor alle machines van het personeel.

[Reactie gewijzigd door Maurits van Baerle op 8 mei 2017 09:51]

Met de komst van macOS Siera is die optie weggehaald.
Nu heb je nog 2 opties over;

1) Alleen app store apps
2) Bekende ontwikkelaars en app store apps.
Optie drie is niet meer te kiezen als default. Dit betekent echter niet dat het niet kan. Unsigned apps kunnen nog steeds gedraait worden dmv rechtermuisknop en dan openen.
Je hebt op zich een punt. Uiteraard is de kans minimaal om malware actief te laten worden op je machine als je alleen gebruik maakt van de App Store.

Maar goed, allereerst is het nagenoeg niet haalbaar om alleen content uit de App Store te gebruiken. Ik vind persoonlijk het aanbod zeer beperkt.

Daarnaast, als je bijvoorbeeld in een bedrijf (of zelfs thuis) werkzaam bent met mixed computers (windows - linux - os x) dan kan jij op de macje malware binnen trekken (bijlage mail, usb stick, wat dan ook) - dit dus niet detecteren omdat dat niet hoeft op een mac - en dit weer verspreiden naar andere besturingssystemen. Wie weet had jouw antimalware suite het tegengehouden - maar zouden de andere scanners het nog niet detecteren. Dusja..waarom OOk niet voorkomen dat jij als patient-0 kan fungeren?

Zeker binnen bedrijven draai je je virusscanner niet alleen voor jezelf :).
Tsja, die handeling mÚet je ook doen om een virusscanner te installeren...
Clamxav staat anders gewoon in de MAS.
Nee de mythe is dat er geen virussen zijn voor de mac. Strikt gezien is dat nog steeds zo. De mechanieken hierachter zijn gewoon goed en het is niet heel interessant voor virusmakers om naar OS X te kijken. Met malware applicaties valt veel meer geld teverdienen en kun je ook nog eens lekker lui gewoon om het wachtwoord vragen.
nieuws: Kwaadwillenden plaatsten malware in App Store voor iOS

|:(

Edit:

Leuk had moeten wachten tot de een minuut limiet verstreken was voor ik zou reageren. Sander had namelijk eerst gereageerd met: 'als je vanuit een appstore apps installeert heb je nihil kans op infecties'.

[Reactie gewijzigd door MarvTheMartian op 8 mei 2017 12:33]

Ja, dat is mogelijk. Maar er is geen virusscanner die je daar tegen gaat beschermen ;) Of denk je dat Apple de apps niet op virussen scant voordat ze in de App Store komen?
Was alleen maar om aan te geven dat ook app stores niet een 'nihil' kans geven op wat voor infecties dan ook :)
1 keer voorkomen bij 1 app is nog steeds minder dan alles bij elkaar voor het totale aanbod aan malware bevattende applicaties.

De kans is dus nihil aangezien ik dergelijke apps niet download.
IOS gaat over apps voor iPhones en iPads. Deze zijn niet bruikbaar op MacOS, en daar gaat het hier over.
Nee het ging over app stores, welke als je die zou gebruiken je 'nihil' kans op infecties zou hebben. En dat is gewoon onzin.
1 op de 2,2 miljoen is anders vrij "nihil".
Heb je het bericht wel gelezen?
De server geeft alleen toestemming om de downloadwinkel te tonen bij ip-adressen uit China. Bovendien checkt de server welk apparaat het is. Als het apparaat zich eerder buiten China bevond, krijgt de gebruiker de downloadwinkel ook niet te zien.
Toen kon Apple het niet zien, dus kan je het moeilijk voorkomen.
Natuurlijk zal Apple haar werkwijze hebben aangepast...
Heb je het wel gelezen zelf, die reactie van mij? Het ging namelijk om 'als je alleen apps uit een appstore gebruikt dan heb je geen kans op infecties'. Wat, zelf voor Appletjes fanaten, gewoon klinkklare onzin is.
iOS is iets anders dan MacOS
Zijn punt is (denk ik) dat de kans op virussen ook in de AppStore niet 0 zal zijn. Wel behoorlijk klein, maar niet nul.
Dat is ook exact de definitie van Nihil dus ik snap niet waarom je er zo'n punt van wil maken? Heel erg weinig is nog altijd beter dan veel bij dit soort dingen.
Sterker nog, er is hier ooit eens beweerd door een bekende mac-fan dat een systeembeheerder die anti-virus wil installeren op een Mac ontslagen zou moeten worden.
En dat is nog niets eens zo heel lang geleden.
Kop ----> zand.
Kan best dat ik dat was. Ben ik het eigenlijk nog steeds wel mee eens namelijk.

Ook hier kan het simpel worden afgedwongen door installatie van software buiten de app store om niet toe te staan. Als beheerder kan je dat dus prima oplossen zonder antivirus, waarschijnlijk had dit niet eens zo heel veel geholpen om het te voorkomen.

Daarnaast is ook dit geen virus maar malware die niet vanuit zichzelf verspreid en geÔnstalleerd raakt. Bescherming tegen malware is daarom dus ook veel interessanter dan anti-virus software. Zoals ook in het artikel staat kun je de besmette versie op geen enkele manier meer installeren wegens xProtect die ertegenin gaat.
8)7 :? Is de discussie "het is geen virus maar malware" niet erg semantisch? Bedoel je dat je als Mac user een anti-malware pakket ipv A/V moet draaien? A/V is geŽvolueerd sinds het win98 era hoor. Zoals al vermeld hierboven: heuristics, proactief scannen, ...
Dat in een bedrijfsnetwerk een aantal extra restricties wenselijk zijn (zoals enkel goedgekeurde apps installeren), lijkt me idd een goede maatregel, niet in het minst om productiviteit hoog te houden.
Ja dat is een semantische discussie. Maar wel een hele relevante als het gaat om de invloed van de gebruiker. Bij virussen kan een gebruiker er niets aan doen. Bij Malware dan weer wel. Ik had gisteren ook handbrake nodig voor omzetten van een video van avi naar mp4. Gelukkig toch niet gedownload wegens gebrek aan tijd, zin en schrijfruimte voor het nieuwe bestand.

Kennelijk toch nog ergens goed voor geweest dus.

Maar goed. Het is belangrijk dat we gebruikers het verschil uitleggen tussen malware en virussen en dat ze op een mac wel degelijk vatbaar zijn voor malware en dat ze dus altijd voorzichtig om moeten gaan met het invoeren van hun wachtwoord. Handbrake zou volgens mij geen admin recten nodig moeten hebben dus waarom zou je die afgeven?
Voor de installatie zijn adminrechten nodig.

Overigens zijn virusscanners op macOS zeer belangrijk, voornamelijk om het netwerk te beschermen en te voorkomen dat collega's, od nog erger: klanten, op Windows geÔnfecteerd worden als je bijv een bijlage stuurt waar blijkbaar iets in zat. Ik zou het juist andersom zien - zij die geen av willen draaien mogen hun eigen apparatuur niet meer meenemen. ;) Kunnen ze dan niet werken? Prima, opzouten dan.

Een systeembeheerder die veiligheid boven alles kiest, zeker zonder dat het de UE beinvloedt, moet juist applaus en complimenten krijgen... Zeker geen ontslag. Je zou als bedrijf echt achterlijk bezig zijn om een slimme beheerder eruit te trappen omdat ie een Mac beter wil beveiligen. :') (Waardoor ook de rest van t netwerk en je klanten beter beveiligd zijn.)
Voor de installatie zijn adminrechten nodig.
Absoluut niet waar! Handbrake heeft op geen enkel manier adminrechten nodig en dat is dus ook waarom er een prompt werd gefaked. Handbrake is een typisch voorbeeld van een sleur-en-pleur app en werkt ook rechtstreeks vanaf de image.
Een systeembeheerder die veiligheid boven alles kiest, zeker zonder dat het de UE beinvloedt, moet juist applaus en complimenten krijgen...
Eens! Een systeembeheerder die zijn collegae weet uit te leggen welke verschillen er zijn tussen malware en virussen en die de gebruikers zover krijgt dat ze opletten wanneer en waarom ze hun password invoeren verdiend dit nog veel meer.
Waardoor ook de rest van t netwerk en je klanten beter beveiligd zijn.
deze conclusie is niet per se waar. Een AV scanner op e-mail bijlagen was vroeger heel normaal om op je PC te hebben. tegenwoordig gebeurt dit serverside aangezien de beheerder van de mailserver dan veel meer controle heeft over wat er in of uitgaat.
Kan een oude ervaring van mij zijn hoor met adminrechten. Weet alleen dat bij de eerste install, en dat is heel lang terug, bij mij er om vroeg iirc.

Klopt! De server is nu de main line of defense. Toch ben ik persoonlijk voorstander van client-side, zelfs al is t dubbelop. :) Een mailscanner alleen bijv vreet ook nauwelijks resources, dus heel plat: better safe than sorry. :P Redundantie FTW. :)
Een AV had niks uitgehaald. AV's op Mac werken niet. Ze ontdekken nooit een Mac virus omdat de AV het bestaan er van meestal nog niet kent. Het enige waar AV op Mac idd goed voor is is om Windows gebruikers te beschermen tegen hun eigen virussen. Maar ik zou iedereen met een Windows PC samen met die systeembeheerder ontslaan :+
Ik denk juist dat het verschil tussen malware en virussen voor een gebruiker totaal niet relevant is.
Er zijn stukken software die schadelijk zijn voor de machine en netwerk van de gebruiker en die je als gebruiker op meerdere manieren kan binnenhalen, dat kan door acties van de gebruiker zelf of buiten zijn of haar schuld om. Hoe je het noemt is niet relevant, want je wil voorkomen dat de gebruiker zo weinig mogelijk acties onderneemt waarmee hij een virus/malware binnenhaalt.
Dus ja, de gebruiker opvoeden is zeer belangrijk. Ergens een ander labeltje opplakken voegt daar niets aan toe.

Probleem blijft alleen dat malware/virussen steeds slimmer worden, zich steeds beter voordoen als legitiem, zelfs Google- en Facebook-medewerkers zijn erin getrapt (meer social engineering, maar het gaat om het idee). Ja je kunt de boel dichttimmeren, maar je zal altijd zien dat er voor bepaalde gebruikers een uitzondering gemaakt moet worden (omdat ie software nodig heeft wat niet in de Store staat), en je gebruikers opvoeden. Maar daarmee ben je nog steeds niet 100% gevrijwaard van een malware/virus-infectie.
En weet je wat dan superhandig is om schade te beperken?
AV-software!
Ongeacht op welk platform je zit is AV-software NOOIT een overbodige luxe. Zelfs niet op OSX. Echt.
Ja je kunt de boel dichttimmeren, maar je zal altijd zien dat er voor bepaalde gebruikers een uitzondering gemaakt moet worden (omdat ie software nodig heeft wat niet in de Store staat)
Daar heb je remote desktop voor. Ik draai installs eerst op mijn eigen mac en als deze applicaties goed draaien hevel ik ze over naar de taakserver waar ik ze geautomatiseerd kan deployen naar de gewenste clients. Zodoende kan ik applicaties die root nodig hebben voor installatie (zoals MS office) installeren en updaten zonder dat de gebruiker hier enige interactie bij heeft en het wachtwoord niet hoeft te weten. Zodoende kan een gebruiker ook niet per ongeluk dit soort zooi installeren.
Goeie aanpak, klinkt als een reden voor ontslag...
Hoezo klinkt dit als een reden voor ontslag? Ik moet nu heel erg denken aan deze XKCD: https://xkcd.com/463/

Antivirus is niet heilig. Preventie is altijd beter dan genezen. Ik zie niet in waarom het installeren van gecontroleerde software verkeerd kan zijn als alle grote spelers op de markt die kant op willen.

Apple doet het al jaren met de MAS en Microsoft is nu ook hard aan het inzetten op het UWP en store concept. Als een gebruiker een applicatie wil installeren dan doet hij dat maar op zijn eigen systeem en niet op een zakelijk systeem waar productie op draait en waar gevoelige gegevens die niet van hem zijn op staan.

Netwerkbeveiliging kan op netwerkniveau veel beter dan op client level. GeÔnfecteerde e-mails moeten Łberhaupt al niet aankomen bij de client.
Hoezo klinkt dit als een reden voor ontslag?
Als het installeren van AV-software volgens jou reden voor ontslag is waarom jouw aanpak dan niet?
Antivirus is niet heilig.
Zeg ik ook nergens, maar het is zeker een belangrijk hulpmiddel om, mocht er toch besmetting optreden (en echt dat kan ongeacht platform en aanpak) dit snel te signaleren en het op te ruimen.
Preventie is altijd beter dan genezen
Absoluut! Maar het is ook geen garantie voor het voorkomen van een virus/malware en als je dat wel denkt of vanuit gaat maak je echt een gevaarlijke fout.
Ik zie niet in waarom het installeren van gecontroleerde software verkeerd kan zijn als alle grote spelers op de markt die kant op willen.
Nogmaals, ik zeg nergens dat het fout is, ik zeg alleen dat het geen garantie is net zomin als AV-software dat niet is.
De ene aanpak hoeft de andere toch niet uit te sluiten?
De 'reden voor ontslag' was omdat jij om dezelfde reden, het installeren van AV-software, een systeembeheerder zou willen ontslaan.

[Reactie gewijzigd door Vexxon op 9 mei 2017 17:35]

Zeg ik ook nergens, maar het is zeker een belangrijk hulpmiddel om, mocht er toch besmetting optreden (en echt dat kan ongeacht platform en aanpak) dit snel te signaleren en het op te ruimen.
In vrijwel alle gevallen waren AV bedrijven later met het uitbrengen van "definities" dan Apple zelf. Ook hier zou een virusscanner niets uit hebben kunnen halen. Doordat Proton.B redelijk nieuw is, heeft het voor beveiligingsbedrijven ook nog vrij weinig aandacht kunnen ontvangen Symantec geeft aan deze threat op 7 mei ontdekt te hebben en een definitie uit gebracht te hebben. Deze is op 8 mei nogmaals geŁpdatet wegens het hebben van meer info over de infectie. Apple zelf had die update al gedaan aan het einde van de middag op 6 mei.
Absoluut! Maar het is ook geen garantie voor het voorkomen van een virus/malware en als je dat wel denkt of vanuit gaat maak je echt een gevaarlijke fout.
Door adminrechten niet bij de gebruiker neer te leggen en mail bijlagen te filteren op de server is die kans vrijwel nul. Dat ene stukje code wat er wel doorheen glipt wordt alleen toch niet gezien door virus en malware scanners. Het is daardoor dus schijnveiligheid die je neerzet bij de client door een dergelijke applicatie te installeren. Ik weet namelijk dat er heel veel gebruikers zijn die dan toch zoiets hebben van: "maar ik heb toch een scanner? als er iets mis is dan hoor ik het wel" en dat is niet hoe het werkt.
De 'reden voor ontslag' was omdat jij om dezelfde reden, het installeren van AV-software, een systeembeheerder zou willen ontslaan.
De reden was toendertijd alleen een virusscanner. Zonder enige vorm van andere maatregelen en dat is wel een case waarvan ik denk dat het niet zou moeten. AV als Last defense snap ik, zeker op windows machines. Op macOS en linux slaat het echter vaak de plank volledig mis en werkt het kompleet averechts.
Hey whatever. Virusscanners voor Macs zijn totaal nutteloos en een systeembeheerder die een virusscanner zou willen installeren op een Mac moet ontslagen worden, wat denkt die malloot wel niet!
Apple en alle producten die ze maken zijn perfect!
Nja ik snap wat je bedoelt, maar heb meermaals gelezen dat op Linux en OSX antivirus/malware juist slecht is omdat het rootrechten heeft dan en omdat cybercriminelen juist lekken in die antivirus misbruiken. Op Windows is dat ook, maar zover ik mij herinner is op deze manier osx en linux vatbaarder.
Op tech of Apple sites is er ook echt weinig aandacht voor beveiliging of software voor beveiliging op Macs helaas.
Ik moet eerlijk toegeven dat ik ook niet echt extra zaken heb draaien. Ben voorzichtig, doe afentoe een malware check.
Maar het aantal artikelen over dit soort software/malware/hacks doet de interesse naar veiligheidssoftware en artikelen en tests daarover wel stijgen.
Komt omdat als jij de instelling zo zet dat alleen bekende ontwikkelaars en app store apps geinstalleerd mogen worden, de kans om besmet te raken al gigantisch naar 0 brengt.
Nee, natuurlijk niet zou ik bijna zeggen, want virusscanners lopen per definitie achter op de bedreigingen, en deze bedreiging was nieuw.
Virusscanners doen meer dan alleen reeds bekende dreigingen detecteren ;)
Ja, dat doen ze door te zoeken op bepaalde patronen, handtekeningen. Zo vinden ze alle nieuwe bedreigingen die lijken op een bestaande bedreiging.

Een compleet nieuwe bedreiging wordt zo niet gevonden.
Nee hoor, zou doen veel meer dan dat en kunnen ook prima nieuwe onbekende malware defecten. Gewoon door a-typische patronen te detecteren. Heuristic analysis wordt al lang succesvol toegepast door virus/malware applicaties.
Heuristic analysis wordt al lang succesvol toegepast door virus/malware applicaties.
Dat weet ik, als je tenminste antivirus/anti-malware applicaties bedoelt.

En toch, ondanks alle slimmigheden in de beveiliging, glipte deze besmetting door de controles van alle virusscanners heen! Met andere woorden: deze bedreiging was van een nieuw soort, lijkt niet genoeg op de eerdere bedreigingen, waardoor de malware zijn gang kon gaan.

De oplossing kwam ook niet van een antivirusbedrijf, maar gewoon van Apple. Een bijgewerkt, veilig en stabiel OS is het antwoord op bedreigingen, niet een virusscanner...
Begreep dat virustotal (65+ scanners) de malware niet zag van iemand die het onderzocht. Die heuristische scanning is ook niet alles.
"Het advies aan gebruikers is om de sha1/sha256-hash te verifiŽren voor ze de app installeren."

Dit biedt nog geen 100% veiligheid, als een website ook gehacked zou zijn zou de hash aangepast kunnen worden naar de versie met malware.
"Het advies aan gebruikers is om de sha1/sha256-hash te verifiŽren voor ze de app installeren."

Dit biedt nog geen 100% veiligheid, als een website ook gehacked zou zijn zou de hash aangepast kunnen worden naar de versie met malware.
Het gaat om een mirrorserver, eentje die ze in feite niet zelf in beheer hebben. Daar is het opgeven van die hashes wel degelijk voor bedoeld.
Ik vraag me af hoe deze app langs de code sign check van gatekeeper komt.
Simpel: de app komt niet uit de app store, maar is wel van een bekende ontwikkelaar. Bij het voor het eerst opstarten krijg je een melding en klik je zelf dat je de app vertrouwt.
De theorie is dus, dat de app niet van een vertrouwde ontwikkelaar meer komt wanneer deze na ondertekening nog gewijzigd wordt. Ofwel de handtekening is bij infectie verwijderd, ofwel handbrake wordt Łberhaupt niet gesigneerd ofwel de handtekening dekt niet de volledige applicatie en blijft dus geldig.
HandBrake is open source, de broncode haal je dus zo van GitHub. Je linkt je eigen bibliotheekje met malware mee, et voilŗ, je hebt je trojan erbij gezet. Degene die de applicatie signed doet geen eindcontrole, en de besmetting wordt gepubliceerd.

Het lijkt mooi, open source, maar er kleven ook nadelen aan...
nou, zo werkt het natuurlijk niet. (En zo is het in dit geval ook niet gebeurd)

Je 'linkt niet zomaar even naar je malware'. Dan moet je een pulll requst maken, die wordt gereviewed, vaak door meerdere personen in de vorm van een korte discussie.

In dit geval was er gewoon een hele nieuwe versie met malware gecompileerd, als die ondertekend zou zijn zou de kwaadwillende dat gedaan moeten hebben.
Ik vermoed dat deze versie met malware helemaal niet ondertekend geweest is, kan het niet controleren nu echter.
Alle apps uit de App Store zijn sandboxed. Maar alle apps van alle bronnen moeten een codesign hebben van de ontwikkelaar. Anders kan je ze niet installeren. Tenzij je dat uitzet in Gatekeeper, maar dat is in mijn ogen gewoon vragen om problemen.
De ontwikkelaars maken geen gebruik van code-signing. Om Handbrake te installeren moet de gebruiker dus zelf Gatekeeper omzeilen.
Dat is dan toch gewoon vragen om problemen?
Het zou waarschijnlijk tot minder besmettingen hebben geleid. Code-signing is niet verplicht en het is de eindverantwoordelijkheid van de gebruiker om software te controleren en ook conclusies te verbinden aan waarschuwingen van Gatekeeper. Checksums waren namelijk wel aanwezig.

Helaas lijken de registratiekosten nog steeds een probleem te zijn voor kleinere open-source-projecten. Dat of ze willen zich niet zodanig afhankelijk maken van Apple.
Misschien eens overwegen om in de app store beschikbaar te zijn.
Nee. Dat kost geld en willen de open Source software makers vaak niet betalen. Of je krijgt een Cyberduck geval dat je moet betalen in de app store en het gratis kan downloaden van de site.
Hoezo kost dit geld? Als je de app gratis aanbiedt hoef je Apple toch niet te betalen?
Je moet betalen voor de licentie voor de appstore
Welke licentie heb je het over? Het signen van Applicaties is gratis en een dev account van 90 dollar hebben ze binnen een maand terugverdiend (waarschijnlijk hebben ze deze zowieso al). Het is een erg populaire app en het hosten van deze applicatie zal ook niet gratis zijn bij een derde partij.
Handbrake is GPL-gelicenseerde software. De voorwaarden van deze licentie zijn volgens mij niet verenigbaar met de algemene voorwaarden van Apple.
Het is voor de meesten geen hobby. En het is vaak niet gemakkelijk. Maar in deze tijd wel een vereiste als je bepaalde diensten aanbiedt. Het is jammer dat het voor ťťn individu best moeilijk is om een bedrijf/website, dat jou malware of iets dergelijks heeft geserveerd, aansprakelijk te stellen. Terwijl de wet daarin voorziet:
https://www.security.nl/posting/484315/Juridische vraag: wie is aansprakelijk voor schade door malware op een website?

Edit: Dit is een reactie op JDVB

[Reactie gewijzigd door conces op 8 mei 2017 08:34]

Toevallig heb ik hem op 5 Mei gedownload, gelukkig niet affected maar vind het alsnog eng hehe.

http://imgur.com/a/JnruP

[Reactie gewijzigd door p0nts op 8 mei 2017 08:49]

Gaat het niet tijd worden, veiliger, dat Handbrake in de Appstore komt? Het bestaat al jaren en wordt veelvuldig gebruikt. Dan kunnen de makers er ook een cent aan verdienen.
Het is open-source-software met een GPL-licentie. Deze licentie is niet verenigbaar met de voorwaarden die Apple stelt aan software in de App Store. Ze kunnen deze licentie niet zomaar wijzigen, ze hebben toestemming van de auteursrechthebbenden nodig, wat nogal lastig is bij een project met vele vrijwillige medewerkers en code die wellicht vele jaren oud is. VideoLAN had dit probleem ook bij VLC voor iOS en moest uiteindelijk code voor een deel herschrijven om deze onder een ruimere licentie te kunnen publiceren.
De Mac App Store zou hier de oplossing kunnen bieden. Waarom HandBrake hier niet in staat vraag ik me dan ook af? Er staan namelijk genoeg andere video converters in.
Niet de eerste keer dat dit gebeurt met Handbrake. Volgens mij is Transmission ook al een paar slachtoffer geweest van dit soort praktijken.
Snelle reactie van Apple, niet iets waar ze echt om bekend staan.
Maar moet je nu een OS update uitvoeren of hoe krijgen de gebruikers dit? Ik wacht bvb een paar weken voor ik een OS update, ook nu staat er eentje klaar die ik dus niet update. Of gebeurd dit onafhankelijk van OS update?

Bij de Proton besmetting had ik net toen de versie geÔnstalleerd, sindsdien let ik toch een pak beter op en probeer zoveel mogelijk via App Store te werken. Via die weg is er nog nooit een besmette app verspreid bij mijn weten.
Je krijgt dit automatisch binnen, onafhankelijk van OS updates. Kijk maar eens bij Over Deze Mac -> Overzicht -> Installaties en zoek naar XProtect en sorteer op datum.

Overigens; waarom een paar weken wachten? Als het na een paar dagen bekend is dat er geen issues zijn met de update waarom nog wachten? :) Bij elke OS update worden er ontzettend veel lekken gedicht.

[Reactie gewijzigd door Erulezz op 8 mei 2017 09:21]

Ga ik bij de volgende update wel doen voor mijn apple watch.. 2 weken wachten.. laatste update ging niet goed namelijk.
XProtect checkt ieder uur of er een update beschikbaar is, zoja.. dan wordt deze direct geinstalleerd.
Dit kan je niet zomaar blokkeren.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*