Rozwój wirusów a luki w MacOS X

Przeczytaj także: Wirusy i ataki sieciowe X-XII 2005

Liczba luk zidentyfikowanych w jądrze systemu operacyjnego oraz związanych z nim komponentach jest mniejsza niż w 2005 roku. Wzrosła jednak liczba luk dotyczących aplikacji Safari i Mail, które mogą zostać wykorzystane do przeprowadzenia ataku za pośrednictwem Internetu. To samo odnosi się do QuickTime, który w pierwszej połowie 2006 roku stanowił popularny temat wśród ekspertów ds. bezpieczeństwa.

Diagram powyżej uwzględnia również serię luk wykrytych w produktach innych producentów, które działają pod kontrolą MacOS X. Do kategorii tej należą również aplikacje, które instalowane są w systemie operacyjnym domyślnie, ale nie są typowe dla MacOS X. Na przykład w okresie tym wykryto kilka luk w Java VM firmy Sun, które mogą być groźne dla MacOS X, ale również wszystkich innych systemów operacyjnych obsługujących implementację Javy firmy Sun.

Jednym z interesujących rezultatów porównania jest spadek liczby luk w jądrze MacOS X (Mach) oraz pokrewnych komponentach / bibliotekach w stosunku do 2005 roku. Liczba wykrytych luk wciąż jest jednak spora. Najpopularniejszy był prawdopodobnie lokalny exploit "passwd" (exploit oparty na luce zero day) zgłoszony 3 lutego 2006 roku, który został wykorzystany do włamania się do systemu Dave'a Schroedera podczas konkurencji "rm-my-mac".

Złośliwe programy atakujące MacOS X

Złośliwe programy atakujące MacOS X są stosunkowo mało rozpowszechnione. Społeczność "makowa" była zaskoczona, gdy 13 lutego 2006 roku pojawił się pierwszy robak dla MacOS X. Szkodnik został nazwany IM-Worm.OSX.Leap.a. Leap jest robakiem rozprzestrzeniającym się za pośrednictwem komunikatora internetowego, który potrafi również infekować aplikacje MacOS X. Jednak z powodu błędu w kodzie szkodnika zainfekowane programy przestają działać.

Robak został po raz pierwszy zauważony na forach MacRumors wieczorem 13 lutego 2006 roku. Pierwotna wiadomość miała następującą treść: "Domniemane zrzuty ekranu OS 10.5 Leopard" i była to oczywista próba skłonienia podstępem niczego niepodejrzewających użytkowników do uruchomienia złośliwego kodu.

Robak wykorzystuje do rozprzestrzeniania się komunikator internetowy Apple'a "iChat". Alternatywnymi sposobami przedostania się do systemu może być pobranie i bezpośrednie uruchomienie przez użytkownika kodu robaka lub uruchomienie zainfekowanej aplikacji ze zdalnej lokalizacji. Ponieważ robak nie potrafi infekować systemu automatycznie, nazywany był również "trojanem", chociaż nie jest całkowicie właściwa klasyfikacja. Żaden trojan nie jest zdolny do rozprzestrzeniania się, podczas gdy Leap.a jest.

Robak rozprzestrzenia się jako archiwum TAR.GZ o nazwie "latestpics.tgz". Po rozpakowaniu archiwum (wykorzystując narzędzie wiersza poleceń 'tar' lub klikając je dwukrotnie w oknie Findera) użytkownik otrzyma coś, co wygląda jak plik JPEG. W rzeczywistości jest to plik wykonywalny dla platformy PowerPC.

"Latestpics" jest aplikacją wiersza poleceń, dlatego przy uruchamianiu otwiera okno terminalu.

Z pewnych doniesień wynika, że gdy robak zostanie uruchomiony przez normalnego użytkownika, system operacyjny zapyta o prawa administracyjne. Testy firmy Kaspersky tego nie potwierdziły - uruchomienie robaka przebiega identycznie, niezależnie od konta, z którego korzysta użytkownik. Szkodnik będzie jednak mógł infekować tylko te pliki, dla których bieżący użytkownik posiada prawo zapisu.