Malware valt Mac-gebruikers aan via lek in MacKeeper
Mac-gebruikers die het programma MacKeeper hebben geïnstalleerd zijn gewaarschuwd voor malware die zich via een lek in de software probeert te verspreiden waarvoor in mei een update verscheen. Vorige maand werd er een kwetsbaarheid in MacKeeper ontdekt waardoor een aanvaller willekeurige code met rootrechten kon uitvoeren, zonder al teveel interactie van de gebruiker. Het probleem werd veroorzaakt door de manier waarop MacKeeper met "custom URL's" omgaat.
Onderzoeker Braden Thomas die het probleem ontdekte maakte een proof-of-concept die ervoor zorgt dat bij het bezoeken van een speciaal geprepareerde pagina met Safari er willekeurige opdrachten op het systeem worden uitgevoerd. Een aantal dagen nadat de proof-of-concept online verscheen zijn ook de eerste kwaadaardige MacKeeper-URL's verschenen, zo ontdekte onderzoeker Sergei Shevchenko van beveiligingsbedrijf BAE Systems.
Phishingmail
De URL's kunnen bijvoorbeeld via phishingmails worden verspreid. Als gebruikers op de link klikken verschijnt er een pop-up die waarschuwt dat er malware op de computer is aangetroffen die moet worden verwijderd. Hiervoor moet de gebruiker zijn wachtwoord invoeren. Vult de gebruiker zijn wachtwoord in, dan wordt de malware gedownload en geïnstalleerd. Volgens Shevchenko gaat het om een backdoor waarmee een aanvaller op afstand toegang tot de computer krijgt.
Ook verzamelt de malware allerlei gegevens van het systeem, zoals draaiende processen, naam van het besturingssysteem en versie, gebruikersnaam en aanwezigheid van VPN-verbindingen. Volgens de onderzoeker is het interessant om te zien hoe snel aanvallers van het lek gebruik maakten. Om de aanval uit te voeren moet een gebruiker wel een kwetsbare versie van MacKeeper hebben geïnstalleerd. De ontwikkelaars van de software beweren dat MacKeeper meer dan 20 miljoen keer is gedownload.
Shevchenko sluit dan ook niet uit dat de aanvallers hun doelwitten met phishingmails bestoken in de hoop dat er één MacKeeper heeft geïnstalleerd. Nadat het lek vorige maand bekend werd kwam MacKeeper echter snel met een update die in de meeste gevallen automatisch wordt geïnstalleerd. Het is dan ook de vraag hoe succesvol deze aanvalscampagne is of is geweest.
Of gaan we nu weer het '3rd party' smoesje krijgen?
Ik zeg mooi zo!
Men moet maar leren dat men daar ook security op orde moet hebben.
http://www.thesafemac.com/serious-mackeeper-vulnerability-found/
Het werkelijke probleem is dat gebruikers MacKeepers installeren.
Als er (al) stront is met een Mac is dat vrijwel meestal direct opgelost na het verwijderen van alle sporen van deze 'brak'ware' c.q. 'break'ware.
De Mac heeft zelf al voldoende functies ingebouwd om het systeem goed draaiende te houden, neem daarnaast de voorkeuren van je programma's, te beginnen met je browser eens goed door. Als je geen historie en cookies voor jaren bewaart hoef je ze ook niet te 'cleanen'.
Voor de overige wensen (als je per se wil stel dan jezelf de waarom vraag goed en probeer hem met argumenten te beantwoorden) zijn er andere (gratis) programma's te vinden die de Mac boel niet overhoop halen.
Pas in ieder geval heel erg op met vanuit de pc hoek overgewaaide cleaners voor de Mac, die zijn over het algemeen helemaal niet nodig vanwege dubbele functionaliteit en te betwijfelen resultaten.*
Begin 'dus' beter niet aan het installeren van deze overbodige onzin en leg er al helemaal geen geld voor op tafel, je krijgt er "een levenslange licentie" op ergernis voor terug.
* Draai nooit een 'clean' programma als je niet eerst een volledige backup hebt gemaakt van je systeem en je bestanden!
! Nog een waarschuwing : Canvas fingerprinting op thesafemac (?)
Het lijkt erop dat thesafemac een hogere vorm tracking omarmd heeft, device fingerprint tracking.
https://en.wikipedia.org/wiki/Canvas_fingerprinting
Privacybrowser waarschuwing :
Heeft iemand voldoende zicht op javascipt code om te kunnen zien of dat dan om deze code gaat en er inderdaad sprake is van device fingerprint tracking?
Deeltje paginacode :
Voor de andere website van hem waarop AdwareMedic wordt aangeboden geldt die waarschuwing overigens (nog) niet en zie ik daarvoor ook geen aanwijzing.
http://www.adwaremedic.com/index.php
Wat niet is kan nog komen, hou het in de gaten en laat NoScript of een andere javascript blocker de scripts maar tegenhouden op deze sites.
Zoveel extra functionaliteit is er niet te vinden.
Javascripts wel vereist voor donatie trouwens, op de site van paypal.
Mocht je nog zin hebben, het mag allemaal.
Of gaan we nu weer het '3rd party' smoesje krijgen?
Ik zeg mooi zo!
Men moet maar leren dat men daar ook security op orde moet hebben.
niet 1 draait er op OSX.
Objection!
http://en.wikipedia.org/wiki/Trojan_BackDoor.Flashback
En inderdaad, MacKeeper is ook eigenlijk een stukje malware.
Dusja, er is ook rotzooi op een Mac te krijgen.
Of gaan we nu weer het '3rd party' smoesje krijgen?
Ik zeg mooi zo!
Men moet maar leren dat men daar ook security op orde moet hebben.
Klets niet!
MacKeeper is 3rd party software !
Van mij mag MacKeeper direct op de XProtect definitie lijst, daar niet van.
Dus Apple zou inderdaad kunnen overwegen installatie van deze ellendige software in zijn geheel te blokkeren, maar dat soort overwegingen moet je niet lichtzinnig nemen.
Wat zijn de overwegingen om dat te doen en waar ligt de grens?
Tegen slechte 3rd party software is het dus lastig beveiligen en uiteindelijk is het de gebruiker zelf die het besluit neemt slechte 3'rd party software te installeren.
MacKeeper zelf mag best als malware worden geclassificeerd, maar ik vind het ook niet echt verrassend dat er mensen zijn die vallen voor deze rommel als quasi-'serieuze' sites als MacUpdate die zooi nog steeds aanbieden. Niet iedereen kan alle in en outs van computers beheersen. Makkelijk om daar op neer te kijken, maar ik wil de meeste computerdeskundologen nog wel eens een muurtje zien metselen.
je kunt beter adware medic installeren dat is graties. Dat doet wat het zegt wat het doet niet meer en niet minder.
http://www.onemorething.nl/2015/01/wat-mackeeper-is-en-waarom-je-het-niet-moet-gebruiken/
! Nog een waarschuwing : Canvas fingerprinting op thesafemac (?)
Het lijkt erop dat thesafemac een hogere vorm tracking omarmd heeft, device fingerprint tracking.
https://en.wikipedia.org/wiki/Canvas_fingerprinting
Privacybrowser waarschuwing :
Heeft iemand voldoende zicht op javascipt code om te kunnen zien of dat dan om deze code gaat en er inderdaad sprake is van device fingerprint tracking?
Hallo Anoniem (05-06-2015, 14:19 door Anoniem),
Zie dit artikel van Thomas Reed van 08 juni 2015: Tor Browser false positive:
http://www.thesafemac.com/tor-browser-false-positive/
U heeft ook niet de hele tekst van de waarschuwing geplaatst (???) :
Should Tor Browser allow this website to extract HTML5 canvas image data?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
