Mac OS X: Unerkannte Schädlinge und Passwörter im Klartext

Nach Angaben des ISC kursiert zwar eine Mac-Version des Linux-Bots RST.B, im Test erkannte aber kein Virenscanner den Apple-Schädling. Zudem wurde bekannt, dass der Mac-Screensaver Passwörter im Klartext im Speicher ablegt.

In Pocket speichern vorlesen Druckansicht 344 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Das Internet Storm Center hat darüber berichtet, dass die Linux-Backdoor RST.B nun auch offenbar in einer PPC-Version für Mac OS X kursiert. RST.B infiziert Binaries und verbindet sich mit einem IRC-Server, um Befehle entgegen zu nehmen. Ein Bot für den Mac allein wäre keine Neuigkeit, da es wenig Aufwand ist, die Backdoor für den PPC zu übersetzen. Bedenklich stimmt allerdings, dass bei den Tests des ISC mit dem Online-Virenscannern Virustotal kein einziger Hersteller die Backdoor erkannte. Bei der Linux-Version schlugen immerhin noch 24 von 32 Scannern laut ISC Alarm, bei einer FreeBSD-Version von RST.B waren es noch 23 von 32.

Das ISC vermutet, dass die benutzten Antivirenprogramme wahrscheinlich nicht mit Mach-O-Binaries umgehen können. Ob dies ein grundsätzliches Problem ist, bleibt offen. Immerhin gibt es für Apple-Rechner spezielle Antivirenprogramme, die sehr wohl mit Mach-O-Binaries umgehen können. Allerdings finden diese eher selten an den Netzgrenzen von Unternehmen ihren Einsatz, um per Mail-Scanner und Webfilter Schädlinge draußen zu halten. Dort arbeiten meist auf Windows oder Linux beruhende Sicherheitslösungen.

Probleme mit dem Erkennen von Schädlingen für Mac OS X haben aber nicht nur die Virenscanner, auch die Mitarbeiter von Apple scheinen laut F-Secure in dieser Hinsicht betriebsblind zu sein. In seinem Blog berichtet der finnische Anbieter von einem Anwender, der sich fast mit dem Ende des letzten Jahres aufgetauchten Trojaner OSX.RSPlug.A infiziert hatte, der sich als Videocodec tarnt.

Der auch DNSChanger genannte Trojaner verbiegt bei einer erfolgreichen Infektion die DNS-Einstellungen. Glücklicherweise hatte der Anwender zuvor eine Demo-Version von Integos VirusBarrier installiert, die die Infektion verhinderte. Allerdings deutete er die Warnungen des Programms falsch, woraufhin er sich mit F-Secure und dem Apple-Support in Verbindung setzte. Während F-Secure Hilfestellung leisten konnte, waren die Apple-Mitarbeiter nicht nur relativ ratlos, sondern auch ahnungslos. Über die Existenz von Schädlingen für Mac OS x sei ihnen nichts bekannt. Erst nach einer Internetrecherche während des Gesprächs glaubten sie den Schilderungen des Kunden.

Schließlich hat noch Jacob Appelbaum, einer der Autoren des "Cold Boot Attack"-Dokuments, einen Bericht zu einer Schwachstelle in Mac OS X veröffentlicht. Offenbar vergisst der Screensaver das eingegebene Login-Passwort zu löschen, sodass es im Speicher im Klartext stehen bleibt. Der dafür verantwortliche Code soll möglicherweise schon fast zwei Jahrzehnte auf dem Buckel haben. Zwar müsse man laut Bericht Root-Rechte besitzen, um auf den Speicher von loginwindow.app zugreifen zu können. Dennoch sieht Appelbaum gute Chance für Forensiker und Datendiebe, an das oder die Passwörter heranzukommen.

Der Hersteller Apple ist über das Problem informiert und will an einer Lösung arbeiten. Das Problem scheint Apple aber schon länger bekannt zu sein. Appelbaums Meldung bekam die Fehlernummer 5726694 und wurde gleichzeitig als Dublette des Fehlers 3250780 gekennzeichnet und geschlossen. Da laut Appelbaum die Fehler sequenziell erfasst werden, liegen 2.475.914 andere Fehlermeldungen dazwischen, die offenbar eine höhere Priorität hatten.

Siehe dazu auch:

(dab)