Es ging zunächst wie ein Schock durch die Mac-Welt: Die Firma »Intego« gab am 8. April bekannt, ein funktionierendes Trojaner-Konzept entdeckt zu haben. Selbstverständlich kann nur das hauseigene Produkt VirusBarrier gegen diesen Trojaner schützen. Bevor nun jeder Mac-User 59,95 US-$ locker macht, um sich VirusBarrier zu kaufen, sollten wir einen genaueren Blick riskieren: Das Ganze ist eine Menge Schwarzmalerei und Panikmache. Soviel vorab: Ich habe den Trojaner gerade bei mir ausprobiert und es ist wirklich gar nichts schlimmes passiert.
Who the f*** is Intego?
Wie Intego unterstreicht, handelt es sich nicht um einen aktuell kursierenden Virus bzw. Trojaner sondern lediglich um einen Proof-Of-Concept, also: einen Beweis der möglichen Verwundbarkeit von Mac OS X. Intego selbst gibt an, durch eine Mail eines Mac-Users am 6. April auf diese Verwundbarkeit hingewiesen worden zu sein. Dieser User habe außerdem auch Apple und McAffee informiert. Der Stein des Anstoßes ist allerdings bereits vom 20. März. An dieser Stelle sind große Zweifel an der Integrität von Intego angebracht. Seriöse Sicherheitsfirmen gehen nicht zwei Tage nach Bekanntwerden einer vermeintlichen Sicherheitslücke mit dem Fehler an die Öffentlichkeit. In der Windowswelt z. B. sind Stillschweigefristen von mehreren Wochen üblich, um dem Hersteller des verwundbaren Systems die Möglichkeit zur Entwicklung eines Patches zu geben. Hinzukommt die Tatsache, dass Intego ebenfalls einräumt, dass es sich lediglich um einen Beweis der theoretischen Verwundbarkeit handelt und Mac-User keinerlei akuter Gefährdung ausgesetzt sind. Hätte man diese Fakten Apple zur Verfügung gestellt, wäre sicherlich innerhalb weniger Wochen ein Patch verfügbar gewesen. Warum? Rob Rosenberger von Vmyths bringt es auf den Punkt: Er hätte schon viele Virus-Hypes gesehen und wenn AntiViren-Firmen alarmierende Presse-Mitteilungen herausgeben, dann entweder weil sie wahnhaft sind oder weil sie die Hysterie für sich ausnutzen wollen. (via Wired)
Um welche Sicherheitslücke geht es?
Intego beschreibt die Funktionsweise des Proof-Of-Concept als eine Art »Filename-Extension-Spoofing«, d. h., dem Anwender wird über das Icon eine Datei, (z. B. MP3, JPEG) angezeigt, in Wirklichkeit handelt es sich jedoch um ein Programm. Ein Unterschied zwischen der Dateiendung und dem tatsächlichen Dateityp ist jedoch lediglich mit Carbon-Programmen möglich. Das neuere Cocoa kennt Type/Creator nicht mehr. Außerdem muss die Datei mit StuffIt oder BinHEX komprimiert sein, um die erforderlichen System-Ressourcen mit zu übertragen. Seit OS X.3 ist ZIP jedoch der Systemstandard. Doppelklickt man die vermeintliche MP3-Datei, wird sowohl iTunes gestartet als auch das Programm ausgeführt. Der eigentliche Programm-Code ist in Kommentar-Feldern der MP3-Datei, den sog. ID-Tags enthalten, so dass er entsprechend ausführbar gemacht werden kann. Dieser Programmcode lässt iTunes die enthaltenen Audio-Daten öffnen. Dass es sich um eine Applikation handelt, wird vom Finder und von iTunes leider ignoriert, obwohl es in der ersten Zeile der Datei eindeutig steht. Ähnliche Schwachstellen sind u. U. auch mit anderen Dateitypen (z. B. bei JPEG über die EXIF-Daten) denkbar, wenn der Programm-Code so klein ist, dass die Datei nicht unbrauchbar gemacht wird. Der von Intego entdeckte »Virus« tut nichts weiter, als eine Warnmeldung anzuzeigen, dass es sich um eine Applikation handelt und eine MP3-Datei mit einem Lachen in iTunes abzuspielen. Er enthält keinerlei Schadroutinen oder Weiterverbreitungsmöglichkeiten. Wer es ausprobieren möchte, kann sich den angeblichen »Trojaner« hier herunterladen. Der Mann der dieses Konzept entwickelt hat, heißt übrigens Bo Lindberg und so sieht er auch aus.
Was könnte so ein Virus eigentlich ausrichten?
Dieses Programm kann ausschließlich im Benutzerkontext laufen, d. h., die eigenen Datein löschen, manipulieren oder per Mail verschicken. Anders, als z. B. bei Windows, kann sich ein derartiges Programm nicht fest im System verankern und z. B. bei jedem Systemstart wieder neu aktiv werden (Hinweis: es sei denn, das Programm verwendet einen kleinen Fehler in der Rechtestruktur der StartupItems, der sich aber leicht beheben lässt). Aber: einen solchen Virus gibt es nicht!
Wie kann ich mein OS X schützen?
Es gibt keine Gefährdungslage ergo: kein erhöhten Schutzbedarf. Da sich unter Mac OS X seit jeher alle Dateien mit beliebigen Icons versehen lassen, ist ein Blick auf die Informationen (Apfel + I im Finder) immer die Methode der Wahl, um sicherzugehen, um welche Art von Datei es sich handelt. Kein Virenscanner – auch nicht der von Intego – kann vor einem Missbrauch an dieser Stelle schützen. In Anbetracht der bisher sehr schnellen Reaktion auf Sicherheitsprobleme ist davon auszugehen, dass Apple in den nächsten Wochen ein entsprechendes Update zur Verfügung stellt und die diesbezügliche Systemsicherheit erhöht.
