heise PlusAbo
Anzeige

Adware-Installer erschleicht Zugriff auf den Mac-SchlĂĽsselbund

Ein neuer Adware-Installer nutzt nach Angabe von Sicherheitsforschern einen simplen Trick, um sich ohne weiteres Zutun des Nutzers Zugang zum Schlüsselbund von OS X einzuräumen.

vorlesen Druckansicht 3 Kommentare lesen
Adware-Installer erschleicht Zugriff auf den Mac-SchlĂĽsselbund
Lesezeit: 2 Min.
Mac & i
Von

Sicherheitsforscher sind auf einen modifizierten Adware-Installer gestoßen, der sich eigenhändig Zugriff auf den Mac-Schlüsselbund des Nutzers verschafft. Der OS-X-Systemdialog, der die Zustimmung für den Schlüsselbundzugriff abfragt, wird dabei automatisch innerhalb weniger Sekunden bestätigt, wie die Sicherheitsfirma Malwarebytes erklärt. Die Angreifer würden dafür unter anderem einen Mausklick simulieren.

Der Adware-Installer könne sich auf diese Weise Zugang zur "Safari Extension List" im Schlüsselbund erschleichen, um anschließend eigene Browser-Erweiterungen zu installieren. Dies sei derzeit eigentlich nicht nötig, um die Adware einzuspielen, merken die Sicherheitsforscher an, möglicherweise bereiten sich die Angreifer damit aber bereits auf Änderungen in OS X 10.11 El Capitan vor.

Sensible Schlüsselbundeinträge bedroht

Mit einigen "kleinen Anpassungen" wäre es außerdem möglich, mit dieser Methode andere, sensiblere Schlüsselbundeinträge auszulesen wie beispielsweise das iCloud-Passwort, betont Malwarebytes.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Im Fall des untersuchten Installers war allerdings Voraussetzung, dass der Nutzer die Software freiwillig ausfĂĽhrt, auf Nachfrage sein Passwort eingibt und anschlieĂźend die Endnutzervereinbarungen der verschiedenen Adware-Produkte abnickt. Erst danach erfolgte der geschilderte automatische Zugriff auf den SchlĂĽsselbund.

RechteausweitungslĂĽcke als Passwort-Umgehung

Eine vorausgehende Version des Installers habe allerdings die dyld-Schwachstelle bis hin zu OS X 10.10.4 verwendet, um die Adware einzuspielen ohne das Passwort des Nutzers zu benötigen, merkt die Sicherheitsfirma an. Apple hat die Rechteausweitungslücke mit OS X 10.10.5 beseitigt.

Die jĂĽngste Modifikation des Installers sei auch vorgenommen worden, um die in Mac OS X integrierte Anti-Malware-Schutzfunktion zu umgehen, die bereits bestimmte Varianten von Genieo blockiert. Der Code zum automatischen Abnicken der SchlĂĽsselbundnachfrage befinde sich zudem in einer "Leperdvil" genannten App, die der Installer ebenfalls einspielt, so Malwarebytes. Es bleibe aber unklar, was das Programm damit mache. (lbe)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Mac OS X

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten