Mac-malware maakt meer kapot dan je lief is
Macs genieten de reputatie van veilig platform, wat gebruikers mogelijk méér in gevaar brengt. Facebook en ook Apple zelf zijn nu slachtoffer geworden van Mac-malware.
Kort nadat social network Facebook opbiecht dat het is gehackt, volgt Apple dit voorbeeld van disclosure. Ook de maker van Mac OS X is te grazen genomen door cyberinbrekers. Door dezelfde daders die bij Facebook zijn binnengedrongen. Hoe? Door hun malware te verspreiden via een forumsite voor app-ontwikkelaars.
Doelgerichte aanval
Voor het ontwikkelen van iOS-apps (voor iPhone en iPad) hebben developers namelijk Macs nodig. Technisch gezien kan app-ontwikkeling al dan niet met enige omwegen ook op Windows, maar officieel is Apple's OS X de enige optie. De hackers die bij Facebook en Apple zijn binnengedrongen, hadden het zo te zien gemunt op Macs.
Het beveiligingsteam van Facebook showt, zoals wel meer Facebook-personeel, duidelijk een MacBook (hier in de eigen profielfoto):
Via: Facebook Security.
Niet verwonderlijk, stelt beveiligingsbedrijf F-Secure. Niet alleen zijn Macs populair en veelgebruikt onder ontwikkelaars, maar ook hip in Silicon Valley. Bovendien is dat besturingssysteem, ook met technische gebruikers erachter, een aantrekkelijk doelwit.
"Er zijn honderdduizenden, zo niet miljoenen, mobiele apps in de wereld. Hoeveel van de ontwikkelaars daarvan hebben recent een site voor mobiele developers bezocht? Met een Mac? En een vals gevoel van veiligheid?", vraagt de Finse firma zich af in zijn blogpost over de affaire.
Vals veiligheidsgevoel
Mac-gebruikers, ook developers, wanen zich namelijk veilig voor malware. Wat volgens F-Secure, maar ook concurrent Trend Micro en vele andere security-experts, een misvatting is. Een gevaarlijke misvatting zelfs. De hack bij Facebook en Apple zijn daar bewijs van, ondanks de officiële verklaringen van de getroffen bedrijven dat er geen data is buitgemaakt. Of, zoals de verklaring van Facebook luidt: 'geen bewijs van misbruik van gegevens'.
Mac-veiligheid is een mythe, heeft securityleverancier Trend Micro al luid en duidelijk gesteld:
[youtube]eiHezWlW34g[/youtube]
Enkele medewerkers van 's werelds grootste sociale netwerk hebben de geïnfecteerde app-developerssite bezocht. Vervolgens zijn bedrijfssystemen van Facebook op hun beurt besmet. Ook bij Apple zijn het individuele werknemers die de malware hebben 'binnengebracht' na bezoek aan een officieel niet genoemde website voor ontwikkelaars van iPhone-apps.
Op de loer bij de waterput
Deze aanpak van de cyberinbrekers is de zogeheten watering hole-tactiek. Daarbij liggen de kwaadwillenden op de loer bij een plek waar hun prooi geregeld langskomt, zoals een drinkplaats voor dieren. De toenemende populariteit van deze nieuwe aanvalsvorm, ook wel spear-exploiting genoemd, is vorig jaar al geconstateerd door beveiligingsbedrijven. Leveranciers Symantec en RSA waarschuwen voor deze tactiek, die vooral speelt bij geavanceerde, zeer gerichte aanvallen.
Zoals die nu gepleegd zijn bij Facebook en Apple, hoewel officieel zonder definitief succes. Overigens is de recente, wel succesvolle, inbraak bij social network Twitter er een uit dezelfde campagne. Dat weten ingewijden te melden aan persbureau Reuters. Bij Twitter zijn toen de gegevens van een kwart miljoen gebruikers buitgemaakt. Daarbij zijn mailadressen, tokens van sessies en versleutelde wachtwoorden buitgemaakt. Dit heeft het bedrijf gedwongen tot een massale wachtwoordenreset, voor al die 250.000 Twitteraars.
Via Java 0-day
Mac OS X is nu niet ineens onveilig, of onveiliger dan het veelgebruikte Windows. Belangrijk detail bij de Facebook- en Apple-hacks is hoe de aanvallers zijn binnengekomen, op de Macs van hun slachtoffers. De ingezette inbraakmiddelen dringen namelijk door op Macs via een 0-day gat in het veelgeplaagde Java. Zero-day omdat de kwetsbaarheid nog niet bekend was. Er zitten dus nul dagen tussen de onthulling van het gat en de verschijning van patches om het te dichten. Die patches zijn er nu, voor Mac OS X.
Saillant detail hierbij is wel dat versie 10.6 (Snow Leopard) van Apple's computerbesturingssysteem weken geleden al is gepatcht, meldt techblog The Next Web. De gaten die nu worden gedicht in 10.7 (Lion) en 10.8 (Mountain Lion) zijn allang aangepakt in de oudere OS X-versie.
Zorgenkindje
Apple heeft lange tijd een eigen implementatie van Java verzorgd voor zijn eigen besturingssysteem. Formeel is het bedrijf daarmee gestopt en heeft het Java overgedragen aan eigenaar Oracle. De (na)zorg voor de vorige Java-versie (1.6.x) is echter nog aan Apple zelf. En dat antieke Java is wat nu juist wordt gepatcht.