Adware-Installer erschleicht Zugriff auf den Mac-Schlüsselbund
Ein neuer Adware-Installer nutzt nach Angabe von Sicherheitsforschern einen simplen Trick, um sich ohne weiteres Zutun des Nutzers Zugang zum Schlüsselbund von OS X einzuräumen.
Sicherheitsforscher sind auf einen modifizierten Adware-Installer gestoßen, der sich eigenhändig Zugriff auf den Mac-Schlüsselbund des Nutzers verschafft. Der OS-X-Systemdialog, der die Zustimmung für den Schlüsselbundzugriff abfragt, wird dabei automatisch innerhalb weniger Sekunden bestätigt, wie die Sicherheitsfirma Malwarebytes erklärt. Die Angreifer würden dafür unter anderem einen Mausklick simulieren.
Der Adware-Installer könne sich auf diese Weise Zugang zur "Safari Extension List" im Schlüsselbund erschleichen, um anschließend eigene Browser-Erweiterungen zu installieren. Dies sei derzeit eigentlich nicht nötig, um die Adware einzuspielen, merken die Sicherheitsforscher an, möglicherweise bereiten sich die Angreifer damit aber bereits auf Änderungen in OS X 10.11 El Capitan vor.
Sensible Schlüsselbundeinträge bedroht
Mit einigen "kleinen Anpassungen" wäre es außerdem möglich, mit dieser Methode andere, sensiblere Schlüsselbundeinträge auszulesen wie beispielsweise das iCloud-Passwort, betont Malwarebytes.
Im Fall des untersuchten Installers war allerdings Voraussetzung, dass der Nutzer die Software freiwillig ausführt, auf Nachfrage sein Passwort eingibt und anschließend die Endnutzervereinbarungen der verschiedenen Adware-Produkte abnickt. Erst danach erfolgte der geschilderte automatische Zugriff auf den Schlüsselbund.
Rechteausweitungslücke als Passwort-Umgehung
Eine vorausgehende Version des Installers habe allerdings die dyld-Schwachstelle bis hin zu OS X 10.10.4 verwendet, um die Adware einzuspielen ohne das Passwort des Nutzers zu benötigen, merkt die Sicherheitsfirma an. Apple hat die Rechteausweitungslücke mit OS X 10.10.5 beseitigt.
Die jüngste Modifikation des Installers sei auch vorgenommen worden, um die in Mac OS X integrierte Anti-Malware-Schutzfunktion zu umgehen, die bereits bestimmte Varianten von Genieo blockiert. Der Code zum automatischen Abnicken der Schlüsselbundnachfrage befinde sich zudem in einer "Leperdvil" genannten App, die der Installer ebenfalls einspielt, so Malwarebytes. Es bleibe aber unklar, was das Programm damit mache. (lbe)
