Schutz gegen Wirelurker auf iOS- und OS X-Geräten

Originalartikel von Trend Micro

Die Schadsoftware Wirelurker und ihre Auswirkungen auf die Sicherheit für iOS-, OS X- und auch Windows-Geräte hat viel Wirbel verursacht. Anwender und Unternehmen können den folgenden Empfehlungen und Practices folgen, um ihre Geräte gegen diese Bedrohung zu sichern.
In ein paar Schritten lässt sich überprüfen, ob die eigenen Apple-Geräte von dieser Schadsoftware infiziert worden sind.

Für Mac Computer:

Nutzer müssen prüfen, ob die folgenden Launch-Daemons auf dem Mac vorhanden sind:

  • /Library/LaunchDaemons/com.apple.globalupdate.plist
  • /Library/LaunchDaemons/com.apple.machook_damon.plist
  • /Library/LaunchDaemons/com.apple.itunesupdate.plist
  • /Library/LaunchDaemons/com.apple.watchproc.plist
  • /Library/LaunchDaemons/com.apple.periodic-dd-mm-yy.plist
  • /Library/LaunchDaemons/com.apple.systemkeychain-helper.plist
  • /Library/LaunchDaemons/com.apple.MailServiceAgentHelper.plist
  • /Library/LaunchDaemons/com.apple.appstore.plughelper.plist

Für „jailbroken” Geräte:

Anwender verbinden sich über SSH (Secure Shell) mit ihrem Gerät und prüfen, ob die folgende Datei dort vorhanden ist:

  • /Library/MobileSubstrate/DynamicLibraries/sfbase.dylib

Für intakte iOS-Geräte

  • Prüfen, ob es verdächtige Apps gibt, die der Nutzer nicht installiert hat.
  • Nach dem Öffnen der „Settings” und Anklicken von „Profile” lässt sich checken, ob es verdächtige Profile gibt.

Anwender können diesen Empfehlungen folgen, um ihre Mac- und iOS-Geräte zu schützen:

1. Kein Jailbreak für iOS-Geräte
2. Stetiges Aktualisieren von Mac und iOS
3. Keine Raubkopien installieren und keine Software aus nicht vertrauenswürdigen Quellen. Software sollte immer aus dem offiziellen App Store stammen.


Bild 1. Nutzer wählen in „System Preferences” den Punkt „Security & Privacy”, um sicherzustellen, dass nur Apps aus dem offiziellen Mac App Store installiert werden können

Nutzer, die Software aus anderen Quellen installieren müssen, sollten prüfen, ob die Fremdquelle vertrauenswürdig ist und äußerst vorsichtig sein, bevor sie eine App installieren. Hier ein paar Empfehlungen:

  1. Anwender müssen Sicherheitssoftware auf dem Mac installieren sowie immer die neuesten Updates einspielen und
  2. die iOS-Geräte lediglich mit Computern verbinden, die vertrauenswürdig sind.
  3. Sie sollten auf die Installationsanfragen der Enterprise Provisioning-Applikation achten und nur diejenigen Apps erlauben, die aus vertrauenswürdigen Quellen kommen.
  4. Schließlich sollten alle verdächtigen Profile von den iOS-Geräten entfernt werden.

 

Bild 2. Nutzer können die installierten Profile in „Settings”> „General” > „Profile(s)” prüfen

  1. Jede Anfrage einer iOS-Anwendung auf Benutzung einer Kamera, Zugang zu Kontakten, Mikrofon, Standortinformationen und weiterer sensibler Daten sorgfältig prüfen

Bild 3. Prüfen der Vertraulichkeitseinstellungen für jede App in “Settings”. Nutzer können in „Settings“ > „Privacy” eine App daran hindern, auf private Informationen zuzugreifen

Unternehmen, die an Apples Enterprise Developer-Programm teilnehmen, sollten ihre Sicherheit über folgende Schritte verbessern:

  • Dafür sorgen, dass die privaten Schlüssel entsprechend sicher sind
  • Gewährleisten, dass nur diejenigen Mitarbeiter Zugang zu dem privaten Schlüssel haben, die diesen auch benötigen.
  • Ehemaligen Mitarbeitern oder Teammitgliedern den Zugriff auf private Schlüssel entziehen.
  • Die Zertifikate so schnell wie möglich wieder zurücknehmen, wenn der Eindruck entstanden ist, der private Schlüssel sei kompromittiert.

Das Zurücknehmen von Zertifikaten ist wichtig. Das hat die Windows-Schadsoftware gezeigt, die von gestohlenen Zertifikaten signiert wurde. Verlieren Unternehmen ihre Zertifikte, könnten Angreifer diese nutzen, um sich als Mitarbeiter auszugeben und sie zum Signieren von Schadsoftware zu missbrauchen.

Trend Micro schützt die Anwender vor dieser Bedrohung über Antivirus für Mac, denn die Lösung erkennt die Schadsoftware auf OS X-Geräten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.