Seite 2: Wäre ein Erpressungstrojaner wie WannaCry auf dem Mac möglich?

Inhaltsverzeichnis

Mac & i: Auf dem PC sorgte kürzlich die als Wurm verteilte Ransomware WannaCry für Wirbel, sie infizierte Abertausende Maschinen, sorgte für Chaos sogar auf Bahnhöfen und in Krankenhäusern. Glauben Sie, dass eine derartige Welle auch auf Apple-Produkte einprasseln könnte?

Wardle: Man sagt ja – sag niemals nie, aber es ist derzeit relativ unwahrscheinlich. Warum? Erstens kommen Macs seltener vor und haben auch nicht so viele Dienste laufen, die nach außen lauschen, wie das bei WannaCry ausgenutzte Netzwerkprotokoll SMB. Die nach außen zugängliche Angriffsfläche, die von Malware wie einem solchen Wurm ausgenutzt werden könnte, ist kleiner.

Allerdings setzen sich Macs im Firmenbereich mehr und mehr durch. Entsprechend könnten wir durchaus eines Tages einen macOS-Wurm sehen. Und wenn wir von WannaCry und anderer Ransomware reden: Solche Erpresserschädlinge gibt es ja schon, zu nennen wären etwa OSX/KeRanger und OSX/Patcher. Glücklicherweise hatte diese Malware bisher einen eher ineffizienten Verbreitungsvektor, der ein manuelles Eingreifen des Nutzers voraussetzte, was dafür sorgte, dass sie den meisten Nutzern erspart blieb.

Mac & i: Also könnte sich das ändern?

Wardle: Die Verbreitung von Ransomware auf dem Mac wurde vor allem aufgrund dieser Einschränkung vermieden. Sollten Angreifer einen effizienteren Weg der Verbreitung finden, wie man ihn auf dem PC bei WannaCry sah, könnte macOS genauso verletzlich sein wie Windows.

Um mal den bösen „Black Hat“-Hacker zu spielen: Ich selbst habe kürzlich eine nette Sicherheitslücke (sie wird unter der ID CVE-2017-6974 geführt) entdeckt. Sie ist zwar mittlerweile geschlossen (durch macOS 10.12.4 – Anmerkung der Redaktion), erlaubte aber Malware, einen Mac dazu zu zwingen, von einem nicht vertrauenswürdigen Disk Image zu booten. Nachdem das geladen war, wäre quasi alles möglich, weil Code „außerhalb“ von macOS ausgeführt worden wäre. Ransomware aus einem solchen Disk Image heraus könnte dann jede einzelne Nutzerdatei verschlüsseln, ohne dass das erkannt werden könnte. Übel!