A Mac OS X nem biztonságos többé: a Crapware / Malware Epidémia megkezdődött

2024 Szerző: Geoffrey Carr | [email protected]. Utoljára módosítva: 2023-12-17 10:54

Az OS X felhasználók úgy szeretik a Windows-felhasználókat, mint az egyedülieket, hogy rosszindulatú programokkal küzdenek. De ez egyszerűen nem igaz, és az elmúlt néhány hónapban drámai módon nőtt a probléma. Csatlakozz hozzánk, miközben felfedjük az igazságot, hogy mi történik valójában, és remélhetőleg figyelmezteti az embereket a közelgő végzetről.

Mivel a valóságban a Unix a motorháztető alatt van, az OS X-nek van némi védelme a legrosszabb vírusok ellen. De ez a probléma manapság nem olyan vírusok, amelyek teljesen megtörnék a számítógépet, hanem kémprogramokat, crapware-t és adware-t, amely a számítógépre ugrik, eltéved a böngészőjével, hirdetéseket helyez be, és nyomon követi, hogy mit néz. És nagy része jogszerű, mert a csalás során rossz telepítésre késztet.

És most a letöltési oldalak, a hamis reklámok a keresőmotorok szoftverére és a vázlatos alkalmazásokhoz adware és crapware-t csomagolnak a telepítőkhöz a legális szoftverekhez. Nem biztos, hogy csak akkor biztos, ha biztonságban vagy, mert az OS X operációs rendszeren tartózkodik. Óvatosan kell ügyelnie a letöltésre és a kattintásra.

Ha nem hiszi, hogy ez nagy ügy, gondolkozz újra. Ezek a reklámkészletek közvetlenül beillesztik a böngészőbe, és elemezik és futnak olyan biztonságos webhelyeken is, mint a bank, a hitelkártya-webhely és az e-mail, és adatokat küld a szervereiknek. Nem használnak HTTPS átvilágítási proxyt mégsem attól, amit a kutatásunk során meg tudunk mondani, de csak idő kérdése, és lehet, hogy már meg is csinálják, és még nem találtuk meg a bizonyítékot.

Mivel elsősorban a Mac felhasználók használják itt a How-To Geek-et, nagyon reméljük, hogy az Apple más módszerrel kezeli ezt a problémát, mint a Microsoftnak a Windows rendszeren, és nem engedte meg, hogy ezek az átveréses művészek elpusztítsák platformjukat.

A mellékelt Crapware for OS X minden nap egyre rosszabbá válik

Nem sokkal ezelőtt telepítette szinte mindent az OS X-re szinte bármely webhelyről, és nem kellett aggódnia, hogy mit kattintottál. Ez már csak nem igaz, és miközben a dolgok jobbak, mint a Windows, ez csak idő kérdése ezen a ponton.

A Mac App Store-nál még mindig van egy biztonságos forrás a szoftverhez, de a probléma az, hogy nem minden gyártó eladja szoftverét az App Store-on keresztül, és sokan régebbi verziókat értékesítenek, és a legutolsó verziót saját weboldalukon forgalmazzák. Ha ragaszkodik az App Store-hoz, nem kell aggódnia. Szeretnénk látni, hogy az Apple megszünteti az App Store néhány problémáját, és mindenkit használ.

Csakúgy, mint a Windows-nál, nem kell a CNET Downloads-nál keresni, hogy megtalálja a mellékelt crapware-t … még a Mac számára is. Ez így van, ezekkel a hülyeséggel együtt jártak. És rosszabbá tették őket, mert vagy telepítettük az alkalmazást, vagy egy Bezár gombot. Még csak nem is csökken! A Bezárás gombra kattintva a telepítő teljesen leáll. Tehát vagy bundled crapware-t kapott, amely eltévedt a böngésződben, vagy nem kapod meg az alkalmazást.

A screenshotban található a Spigot és egy csomó más büdösség, amely átirányítja a böngésződet a Yahoo-nak, telepít egy csomó nem kívánt plugint, és általában a süllyesztett spagetti szörnyeteget sírja. Elképesztő, hogy mennyi pénzt kell a Yahoo-nak süllyednie ezekbe a dolgokba, hogy eltérítsék a böngészőjét a keresőmotorhoz … amikor még csak nem is az övék. A Yahoo Search valójában csak egy újraértelmezett változata a Bingnek. Nos, hát.

Jaj nekem! A következő képernyőn a telepítő végül lehetővé teszi, hogy újra visszautasítson valamit! Talán a képernyőn megjelenő dolog annyira rossz, hogy a CNET Downloads nem akarja kényszeríteni rá. Nem jó jel.

Természetesen nem csak a CNET Downloads teszi a kötegelést - találtunk egy sor más alkalmazást, amelyek az ingyenes letöltési webhelyeken vannak elosztva, amelyek saját kötegelést végeznek. Például a HTTPS-eltérítéshez használt adattovábbító programot tartalmazó YTD-nek Mac verziója van. És ők is összekapcsolják a Spigót. Szeretne valamit torzítani? Miért nem tölted le az uTorrent weboldalt? Úgy tűnik, hogy az emberek szeretik ezt használni. Ohhh.

A probléma sokkal, sokkal rosszabb, ha megpróbálsz keresni a freeware a kedvenc keresőmotor használatával. Érdemes megemlíteni, hogy a Google nemrég kezdte megpróbálni tiltani a mellékelt crapware-okat az eredményeikről és hirdetéseikről, de sajnos a Yahoo és a Bing nem ugyanolyan fantasztikus szinten vannak. Valójában csak szörnyűek.

Ha átlag, rendszeres felhasználó vagy, és a Yahoo-nak a "vlc download" -ot keresi, akkor a következő képernyőképhez hasonlít. És az oldal minden egyes eleme valójában egy összekapcsolt crapware telepítő a VLC-hez, és szinte mindegyik több platformon dolgozik, és működik az OS X-en. A "hirdetés" szöveg pedig szinte láthatatlan.

Ha egy gyanútlan felhasználó megpróbálja használni az egyik telepítőt, akkor egy ilyen képernyőhöz hasonló képernyő jelenik meg … amely telepíti az InstallMac szörnyűségét, amely mindent elront, és adware-t helyez el a rendszerbe - ez szörnyű. És természetesen a következő képernyő megpróbálja Önt telepíteni valami mást, amire nincs szüksége. És akkor valami mást. Ez annyira crapware.

Rengeteg szoftvert találtunk meg, amelyet ilyen módon szolgálnak fel, egy csomó installálóval szinte minden mellékelt crapware telepítő cégnél. Itt van egy OpenOffice csomag telepítése, amely egy igazán pocsék hirdetési adathoz tartozik, amely csak átveszi a böngészőt. Igen, újra kerestük a Yahoo-t az OpenOffice-ra, és rákattintottunk arra, hogy valójában mi volt a valóságos weboldal, mert a "hirdetés" szövege olyan kicsi volt, hogy nem tudtuk megmondani a különbséget. És ez történt.

Ez lesz a járvány a Mac felhasználók számára. Szóval mi várnunk kell?

Az Adware és a Malware az OS X-en majdnem olyan szörnyű, mint a Windows rendszeren

Ha sikerül fertőzött valamivel, a legtöbb adware, rosszindulatú program és kémprogram az OS X rendszerben megpróbálja megfertőzni a böngészőt, az új lapot, a keresést és a kezdőlapokat, a hirdetéseket weboldalakba és véletlenszerűen befecskendezheti felbosszantva az idegesítő technikai támogató figyelmeztetéseket. A legtöbb nem törli a merevlemezt, vagy valami igazán szörnyű … de a növekvő kifinomultság alapján, amit látunk, csak idő kérdése.

Számos ilyen böngésző-eltérítő olyan hirdetéseket helyez be, amelyek fel nem tűnő üzeneteket jelenítenek meg, függetlenül attól, hogy mit csinálsz, amint a fenti képernyőképen látható. És véletlenszerűen minden alkalommal megjelennek böngészés közben, és a CMD + Q-nak teljesen ki kell zárnia az alkalmazást, hogy megszabaduljon tőlük. Lényegében a böngésző teljesen haszontalan lesz.

A legegyszerűbb adware a böngészőjébe bővítményként települ, és visszaállítja az összes oldalt, hogy átélje a rettenetes, rettenetes keresőmotorját. Ezzel leginkább a Yahoo-t értjük … de vannak olyanok is, mint a searchmoose, a search-quick és a searchbenny, amelyek saját hamis keresőmotorokat használnak. Néhány közülük átirányítja Önt Bingre, de soha nem közvetlenül. Mindig keresztül egy közvetítő, mint a Trovi.

A legtöbb injektált hirdetés megpróbálja becsapni Önt arra, hogy még több hirdetést telepít a hamis Java plugin üzenetek használatával, vagy olyan üzeneteket, amelyek szerint egy kodek vagy egy új Flash verzió telepítésére van szükség. Természetesen mindezek hamisak, és csak még több crapware-t és rosszindulatú programot telepítenek a számítógépére. Egyszerre egyikük megpróbál egy darab Windows adware-t kiszolgálni, de nagyrészt elég okos ahhoz, hogy tudja, hogy Mac-felhasználó vagy, és a megfelelő cuccot szolgálja fel.

Sok adware átirányítja keresőmotort egy olyan hamis keresőmotorra, amely sokat hasonlít a Google-ra vagy a Bing-re, de az eredmények nem más, mint hirdetések.

És akkor véletlenszerűen elkezdi beszélni veled. Szó szerint. Audió hirdetéseket játszik le a hangszórókon keresztül. Hallottunk egy hirdetést Northrup Grumman-nak. Milyen bolond ez? (Biztosak vagyunk benne, hogy erről nem tudnak.)

Mi csak mutattuk ki a bosszantó adware-t, de a csomagban szereplő crapware-k nagy része is nagyon pocsék dolgokat és szinte minden egyes crapware-csomagot, amit találtunk, és szinte minden adware-hirdetés megpróbált minket telepíteni a MacKeeper-et. Sokat nem tudunk erről, bár azt tervezzük, hogy megvizsgáljuk, hogyan működik, mert ezek a taktika megkérdőjelezhető.

A legnagyobb tendencia, amit észrevettünk a reklámprogramokban, hogy szinte minden megpróbálja átirányítani a böngészőt és a keresőmotort a Yahoo-ba. A Yahoo-on valakinek ott kell lőni.

A Deeper mélyítése: Hogy működik ez a rosszindulatú program

Az egyszerű adware úgy működik, ahogy a legtöbb adware, telepítve magát a Safari kiterjesztéseire, ami nagyon könnyen eltávolítható. A probléma az, hogy csak néhány darab adware dolgozott ilyen módon a kutatásunkban.

Az összes keresőmotor-eltérítés, a kezdőlap átirányítása és a hirdetéseket befecskendező bővítmények egyike. A nagyobb probléma az a súlyos rosszindulatú program, amely mélyen beilleszkedik az operációs rendszerbe, és az átlagember sohasem képes eltávolítani. Nincs eltávolító, nincs indítási elem, nincsenek bővítmények a böngészőben, bővítményekben vagy bármi másban, amely úgy tűnik telepítve van.

Ami azonban létezik, valóban szörnyű hirdetések vannak beillesztve mindent, amit csinálsz, így a számítógép lassabb, mint a szennyeződés. A keresőmotorját eltéríteni fogják, és előfordulhat, hogy a böngészője átirányításra kerül egy proxy útján. Ez teljesen rosszindulatú program, ez nem csak adware, még akkor is, ha véletlenül elfelejtettél valahol eltávolítani a dobozt. Ugyanúgy működik a Trovi rosszindulatú program a Windows-ban, beavatkozással a folyamatokba.

Ezek a komolyabb rosszindulatú programok telepítik őket démonként vagy szolgáltatásként, amely a háttérben és a színfalak mögött fut. Ezeket a dolgokat a / Library / LaunchAgents vagy a Library / LaunchDaemons mappában találhatja meg, amelyeknek valóban furcsa megjelenésű elemei lesznek. Ezt a mappát valódi alkalmazásokból is felhasználhatják valódi dolgokhoz, ezért ne menj ebbe a mappába teljesen vagy semmi tisztítással.

A plist fájl vizsgálata megmutatja, hol található a tényleges rosszindulatú program, mely általában egy teljesen különálló mappában található.

Amikor a könyvtárba lép, és megvizsgálja a Version.plist fájlt, további információkkal szolgál arról, hogy mi történik. Ezt a keresést Search-Quicknek nevezik, és támogatja a Chrome és a Safari, valamint a Webkit éjszakai felépítését valamilyen okból.

A további vizsgálódás valami furcsa kérdéssel jár … az a személy, aki ezt a malware-t írta, kifejezetten köszönetet mondott anyjának.

Miután az OS X démonként elindította a rosszindulatú programot, akkor az OS X egy kevéssé ismert funkcióját használja, amely lehetővé teszi egy folyamat számára, hogy egy másik folyamathoz adjon be magát.Láthatja, hogyan működik a terminál megnyitásával és közvetlenül az ügynök futtatható futtatásával. Ami valójában megtörténik, az az, hogy a web böngészőhöz csatlakozik, és rejtett kiterjesztésként betölti magát. Az alábbi képernyőképen látható, hogy aktiválva lett az 544-es folyamatazonosítóhoz, amely a Google Chrome volt. Ugyanezt teszi a Safari-nak is, ha nyitva van.

Ez azt jelenti, hogy hirdetések vagy rosszindulatú programok futnak belül a böngésződbe, befecskendezve minden olyan oldalra, amelyet látogat. Nem számít, hogy biztonságos banki webhelyet látogat-e vagy sem, már benne vannak. A rosszindulatú szoftver egyik mellékhatása az, hogy az egész számítógéped rendkívül lassú lesz, egész idő alatt, függetlenül attól, hogy mit csinálsz.

Néhány tipp a hirdetési és rosszindulatú programok eltávolításáról az OS X rendszerben, olvassa el az Apple támogatási dokumentumot, vagy csak várjon a közelgő cikkekre a témában. Sokkal több kutatást fogunk végezni mindezen dolgokról.

Tehát mit jelent mindez, és hogyan védi meg magad?

Annak ellenére, hogy megmutattuk, hogy a rosszindulatú programok, adware, crapware és spyware egyre rosszabb az OS X rendszerben, ez nem jelenti azt, hogy szükségképpen aggódnia kell vagy ki kell futnia és telepítenie kell a Linuxot, vagy valami drasztikusan meg kell tennie. Az OS X még mindig nem olyan célzott, mint a Windows, és vannak olyan biztonsági intézkedések is, amelyek megnehezítik a rosszindulatú programok átjutását.

A legbiztonságosabb dolog, amit tehetünk, a Mac App Store használatával telepítheti az alkalmazásokat, amikor csak lehetséges. Ezeket az alkalmazásokat az Apple ellenőrizte, és csak finom használatra kényszerül, és biztosan nem lesz mellékelve semmiféle crapware vagy adware.

Olyan alkalmazások korlátozása, amelyek nem az App Store-ból vannak

Ez nem fogja teljesen megoldani a problémát, de beállíthatja az OS X-et, hogy automatikusan korlátozza az App Store-ból nem származó végrehajtható fájlokat. Ez nem vonatkozik a számítógépen már telepített alkalmazásokra, függetlenül attól, honnan származik. Ez egyszerűen az új letöltésekre vonatkozik.

Ugrás a Rendszerbeállítások -> Biztonság és adatvédelem lehetőségre, kattintson a lezárás ikonra alul, majd hajtsa át a beállítást a Mac App Store-ra az alapértelmezett helyett.

Miután ezt megtette, minden olyan futtatás végrehajtása, amely nem található az App Store-ban, automatikusan blokk üzenetet jelenít meg. Megadhatja, hogy továbbra is megnyissa, ha jobb egérgombbal kattint, majd válassza a Megnyitás lehetőséget, majd válassza a Megnyitás újbóli lehetőséget, de alapértelmezés szerint minden tiltott.

Ez nem oldja meg a kérelmek számátcsinálszeretné telepíteni a mellékelt crapware-t, amely alapértelmezés szerint ki van kapcsolva. De ez egy nagy biztonsági beállítás a rokonok számára.

Ha máshol telepítenie kell egy alkalmazást, győződjön meg róla, hogy valóban megbízható forrás, és nem egy hamis weboldal, amely nyílt forrású freeware-t kínál egy csomagtartó csomagolással.

Fontolóra kell venned a böngésződobozok letiltását is - a Chrome és a Firefox esetében ez elég egyszerű, a Safari esetében ez egy kicsit bonyolultabb. A legnagyobb dolog, amit tehetünk, letiltjuk a Java plugint, mert elég ritka, hogy szükséged van rájuk, és mivel a Java 2013-ban a támadások 91% -áért volt felelős. Ez csökkenti annak valószínűségét, hogy egy nulla napos támadást céloz meg.

Lehet, hogy még időben is el kell kezdeni az antivírus alkalmazását az OS X esetében, legalábbis ha sok szoftver telepítésére szeretne az App Store-n kívüli forrásokat telepíteni. Ha nem, valószínűleg nem olyan nagy az üzletben, de közelebb kerülünk ahhoz a ponthoz, ahol szükség lesz rá. Ami még nem biztos abban, hogy a Mac vírusölő még érdemes és blokkolja ezt a fajta dolgot - a Windows rendszereken a legtöbb vírusölő nem tiltja össze a kínált crapware-t és adware-t, mert törvényes, mivel meg kellett volna egyeznie a telepítési folyamat. Tehát ne csak fizetni néhány vírusölő most. Csak tartsd szem előtt a jövőben.

Ezenkívül csak vigyázz, hogy mit rákattintasz, és ne bízz a böngészőablakban megjelenő hibaüzenetekben. Ha látsz valamit, ami azt mondja, hogy a számítógéped fertőzött, és felbukkan egy üzenetet, tartsa lenyomva azt a CMD + Q billentyűparancsot, hogy azonnal bezárjon mindent.

Nincs jobb idő a Windows felhasználók számára, hogy Macre váltsanak. Ezzel a sok crapware és adware kidolgozásával otthon érezhetik magukat! (Természetesen viccelünk.)