Dipl.-Inform. Carsten Eilers

Opera hat am 18. Mai in Version 11.11 eine kritische Schwachstelle behoben: Bestimmte Frameset-Konstrukte führen beim Schließen der Seite zu einem Pufferüberlauf, durch den eingeschleuster Code ausgeführt werden kann. Joshua Long hat festgestellt, dass im App Store noch die im Januar veröffentlichte und von der Schwachstelle betroffene Version 11.01 verteilt wird. Laut Joshua Long wurde diese Version von Apple im März im App Store veröffentlicht, also 2 Monate nach Veröffentlichung durch Opera. Am 14. April vermisste ein Opera-Nutzer die am 12. April erschienene Version 11.10, auf deren Freigabe durch Apple Opera wartete. Es muss allerdings erwähnt werden, dass diese Version zwar eine Vielzahl von Verbesserungen enthält, aber keine sicherheitsrelevanten Patches. Trotzdem ist es auffallend, dass selbst dieser Version es nach über einem Monat immer noch nicht in den App Store geschafft hat.

Eigene Update-Mechanismen verboten

Eigentlich wäre das alles kein Problem, da es das Update auch über den integrierten Auto-Update-Mechanismus gibt. Nur gibt es den leider nicht in der App-Store-Version, da über den App Store vertriebene Programme keinen eigenen Update-Mechanismus haben dürfen. Aus eigentlich guten Grund: So kann kein Entwickler schädlichen Code an der Mac-Store-Prüfung vorbei schmuggeln. Gäbe es die Einschränkung nicht, könnten Cyberkriminelle ein harmloses Programm in den App Store einstellen und später schädlichen Code als Update nachladen. Und das würde dann zum einen die Sicherheit des App Store unterminieren und zum anderen Apples Support überfordern. Aber dazu komme ich gleich noch.

Opera kein Einzelfall

Laut Joshua Long ist Opera nicht die einzige veraltete Software, als weiters Beispiel nennt er Amazons Kindle-App: Aktuell ist Version 1.5.1, im App Store gibt es nur Version 1.2.3. Auch bei anderen Programmen gab es schon entsprechende Berichte. Mit anderen Worten: Wem die Sicherheit seines Mac liebt ist und/oder wer Wert auf aktuelle Software legt, sollte den App Store meiden. Dort gibt es mitunter nur den sprichwörtlichen kalten Kaffee, und noch dazu ist der manchmal verdorben. Guten Appetit!

Scareware auf dem Mac - nicht Apples Problem

Eine Welle von über SEO verbreiteten Fake-Virenscannern (oder genauer: Einem Fake-Virenscanner mit verschiedenen Namen wie MacDefender oder Mac Protector), also Scareware, für Mac OS X, sorgt für eine deutlich erhöhte Anzahl von Anfragen an den AppleCare-Support, die aber alle vergeblich sind: Obwohl sich die Scareware relativ leicht entfernen lässt, gibt es von Apple keine Hinweise, wie das geht. Der Grund laut einem Support-Mitarbeiter:

"The reason for the rule, they say, is that even though Mac Defender is easy to remove, we can’t set the expectation to customers that we will be able to remove all malware in the future. That’s what antivirus is for."

Genial. Weil man damit rechnet, zukünftige Schadsoftware nicht entfernen zu können, entfernt man die aktuelle auch nicht. Also garantiert Apple mir für alle Probleme, die sie jetzt lösen, dass sie gleichartige auch in Zukunft lösen werden? Das wäre ja die logische Schlussfolgerung aus dieser Regelung, oder?

"Kaufen Sie einen richtigen Virenscanner!"

Inzwischen ist ein internes Support-Dokument aufgetaucht, dem zu Folge Kunden, die den Fake-Virenscanner noch nicht installiert haben, empfohlen wird, diesen nicht zu installieren und das Installationsprogramm zu löschen. Wurde der Fake-Scanner bereits installiert, soll geprüft werden, ob alle Updates installiert sind, danach soll dem Benutzer der Einsatz eines richtigen Virenscanners empfohlen werden:

"The customer can be directed to the Apple Online Store and the Mac App Store for antivirus software options."

Das ist ja wohl zumindest im zweiten Teil der schlechteste Rat, dem man in diesem Fall geben kann. Was soll man mit einem Virenscanner aus dem App Store, der dann u.U. nur alle Jubeljahre mal aktualisiert wird?

Apple steckt den Kopf in den Sand

Ansonsten möchte man mit Schadsoftware bitte nicht weiter behelligt werden:

"Important:

• Do not confirm or deny that any such software has been installed.
• Do not attempt to remove or uninstall any malware software.
• Do not send any escalations or contact Tier 2 for support about removing the software, or provide impact data.
• Do not refer customers to the Apple Retail Store. The ARS does not provide any additional support for malware."

Ob Apple wirklich glaubt, dass diese Vogel-Strauß-Taktik funktioniert und die Cyberkriminellen verschwinden? Ich fürchte ja, die werden eher die Gelegenheit nutzen und dem "Strauß" gewaltig in den so einladend ausgestreckten verlängerten Rücken treten, während der den Kopf im Sand hat.

Update 25.5.:

Inzwischen hat Apple sich das Ganze noch mal überlegt, den Kopf aus dem Sand gezogen und in der Knowledge Base eine Anleitung zum Entfernen der Scareware veröffentlicht. Außerdem soll in Kürze ein Update für Mac OS X veröffentlicht werden, dass die Scareware erkennt und entfernt. Da bin ich ja mal gespannt, für welche Systeme es das Update gibt. Laut Knowledge-Base-Eintrag sind Mac OS X 10.4 (Tiger), 10.5 (Leopard) und 10.6 (Snow Leopard) betroffen, offiziell werden aber immer nur das aktuelle System und dessen Vorgänger mit Updates versorgt. Müssen Tiger-Benutzer also weiterhin mit der Gefahr leben?

Chester Wisniewski von Sophos weist darauf hin, dass Apple noch Probleme mit dem Einordnen der Schadsoftware hat, laut Apple handelt es sich um Phishing. Woher soll man bei Apple auch den Unterschied zwischen Phishing und Trojaner kennen? Immerhin galt bis vor kurzem noch die Devise "Auf dem Mac gibt es keine Schadsoftware"! Auf der CeBIT wurde mir übrigens auf dem ESET-Stand erzählt, Apple hätte darum gebeten, den ESEST-Virenscanner für den Mac nicht "Antivirus" o.Ä. zu nennen sondern ESET Cybersecurity, um das böse Wort "Virus" im Namen zu vermeiden. Ob das stimmt oder nur ein Witz war, weiß ich nicht, ins Bild passen würde es aber.

Die Scareware wird gefährlicher

Intego warnt vor einer neuen Version der Scareware, die auch ohne Eingabe des Administrator-Passworts installiert wird. Jetzt können also auch Benutzer ohne Admin-Rechte den Schädling installieren. Und die fallen wahrscheinlich noch leichter auf die Social-Engineering-Tricks herein. Natürlich installiert man niemals unbekannte Programme oder Software aus dubiosen Quellen - aber ob das die normalen Benutzer wissen?

Ende des Updates

Microsoft informiert - auch Apple-Benutzer

Im Gegensatz zu Apple kümmert sich Microsoft nicht nur um die eigenen Nutzer, sondern informiert auch ausführlich über den Fake-Virenscanner für Mac OS X (den es laut Apple ja gar nicht gibt). Die Mac-Version hat auffallende Ähnlichkeit mit einem Fake-Virenscanner für Windows, dürfte also von den gleichen Cyberkriminellen entwickelt worden sein. Oder die fangen jetzt schon an, statt echter Scanner andere Fake-Scanner zu imitieren.

Update 25.5.:

Löschanleitungen mit Beigeschmack

Anleitungen zum Entfernen des Fake-Scanners gibt es bei Bleeping Computer sowohl für die als Mac Defender als auch die als Mac Protector bezeichnete Variante. Auf den Seiten gibt es aber relativ unschöne Werbung: Angebote für Virenscanner erwecken in dem Zusammenhang doch Unbehagen... sind die Angebote echt oder auch wieder nur Scareware?

Diese Anleitungen können Sie ignorieren, es gibt jetzt ja die von Apple. Eine weitere, seriöse Anleitung gibt es auf SecureMac, ebenso wie eine Analyse der Scareware.

Ende des Updates

Virenscanner für Mac notwendig?

Auch für Mac-Benutzer gilt inzwischen: Seien Sie vorsichtig, und installieren Sie im Zweifelsfall einen Virenscanner. Zwingend notwendig ist der zur Zeit aber nicht, da alle bisher aufgetauchten Mac-Schädlinge auf Social Engineering angewiesen sind: Der Benutzer muss die Schädlinge erst installieren (und dazu sein Admin-Passwort eingeben), bevor sie aktiv werden können.

Ich verlasse mich weiterhin auf Brain 1.0 mit der Erweiterung "Open Eyes", bei Bedarf lege ich verdächtige Dateien Online-Scannern wie dem empfehlenswerten VirusTotal zur Prüfung vor.

Wenn Sie einen Scanner auf Ihren Mac installieren wollen, achten Sie darauf, dass der von ihnen ausgewählte Scanner mit deutschen Sonderzeichen klar kommt. Sonst gibt es nur Probleme.

Carsten Eilers