Versteckter Trojaner-Schutz in Snow-Leopard-Aktualisierung

21.06.201016:49Martin Unger
Apple (60px)
Mit der am Dienstag herausgegebenen Version 10.6.4 des Betriebssystems Mac OS X 10.6 (Snow Leopard) hat Apple eine Liste der geschlossenen Sicherheitslücken veröffentlicht. Nicht erwähnt wird dass auch eine Datei aktualisiert wurde, die offensichtlich zum Schutz gegen Schadsoftware eingesetzt wird.

Die Datei namens „XProtect.plist“ gehört zu einem Dienst, den Apple im August 2009 in die neue Betriebssystemversion 10.6 eingeführt hat. Dieser Dienst überwacht die Downloads von Safari, Mail und iChat und erkennt einige bekannte Schadprogramme. Wird eine infizierte Datei entdeckt, dann empfiehlt der Dienst dem Nutzer, diese zu löschen.

Die Datei „XProtect.plist“ enthält die spezifischen Kennungen für die bekannten Schadprogramme. Sie wurde nun durch die Aktualisierung erweitert, um einen neuen Trojaner zu erkennen, der in manipulierten Versionen von iPhoto verbreitet wird.

Warum aber aktualisiert Apple diese Datei heimlich, ohne es in der Beschreibung der Aktualisierung zu erwähnen? Graham Cluley, Mitarbeiter des IT-Sicherheitsunternehmens Sophos, spekuliert dazu in seinem Blog: „Man fragt sich, ob Apple aus Marketing-Gründen über diese Antiviren-Aktualisierung geschwiegen hat. "Shh! Erzählt den Leuten nicht, dass wir Mac OS X gegen Viren schützen müssen!"“

Viele Apple-Nutzer gehen immer noch davon aus, dass ihr System vor Angriffen sicher sei, da schließlich für den Mac keine Viren existieren würden. Natürlich stimmt das nicht. Es gibt Viren und andere Schadsoftware für Mac OS, wenn auch sehr viel weniger als für Windows-Computer. Sicherheitsexperten gehen aber davon aus, dass sich mit der zunehmenden Verbreitung von Mac-Betriebssystemen auch die Zahl der gegen Mac OS gerichteten Schadprogramme wachsen wird.

Erste Beispiele für gefährliche Schadprogramme für Mac OS existieren bereits. Zu denen gehört auch der Trojaner, vor dem die jüngste Aktualisierung von Apple schützen soll. Installiert ein Mac-Nutzer eine mit dem Trojaner infizierte Version von iPhoto, so übernimmt dieser insgeheim die Kontrolle über das System des Nutzers. Damit wird es Angreifern aus der Ferne möglich, über den infizierten Computer des Nutzers Spam-E-Mails zu versenden, Bildschirm-Aufnahmen zu machen oder Zugriff auf Dateien zu erlangen.

Eine Frage bleibt offen: Warum stellt Apple keine vollwertige Antiviren-Lösung für Mac OS zur Verfügung?

Link: Meldung von CNET zur Sicherheitsaktualisierung von Apple und der verdeckt aktualisierten Virendefinitionsdatei (englisch, 18.06.2010)

Betriebssystem
Aktualisierung, Apple, Mac OS X, Mac OS X 10.6, Snow Leopard, Trojaner, XProtect