Video: APPLEВСЁ Как в Apple Store продали старые iPhone под видом новых (Kann 2024)
Der Februar war ein harter Monat für alle Technologieliebhaber des 21. Jahrhunderts. Sowohl Twitter als auch Facebook gaben zu, dass sie gehackt worden waren. Nun gab Apple, das lange Zeit als Hersteller sicherer Computer galt, zu, dass seine eigenen Computer von einer Zero-Day-Java-Sicherheitslücke betroffen waren.
Die Bekanntgabe erfolgte gestern von Reuters, der mitteilte, dass es nicht klar ist, wann die Angriffe begonnen haben oder wie viele Informationen - wenn überhaupt - kompromittiert wurden. "Apple hat Malware identifiziert, die eine begrenzte Anzahl von Mac-Systemen durch eine Sicherheitslücke im Java-Plug-In für Browser infiziert", sagte Apple in einer Erklärung gegenüber dem PC Magazine. Das Unternehmen sagte weiter, dass eine kleine Anzahl von Computern von Mitarbeitern kompromittiert worden sei, "aber es gab keine Beweise dafür, dass Daten von Apple stammen".
Kurz nach der Zulassung hat Apple allen OS X-Benutzern ein Tool zum Entfernen seltener Malware zur Verfügung gestellt. "Auf Systemen, auf denen Java für OS X 2012-006 noch nicht installiert ist, deaktiviert dieses Update das Java SE 6-Applet-Plug-In", heißt es in der Beschreibung des Updates. "Um Applets auf einer Webseite zu verwenden, klicken Sie auf den Bereich" Fehlendes Plug-In ", um die neueste Version des Java-Applet-Plug-Ins von Oracle herunterzuladen."
Laut Reuters deaktiviert Apple Java automatisch für Benutzer, die die Software seit 35 Tagen nicht mehr verwenden. SecurityWatch hat jedoch bereits ausführlich erläutert, wie Sie Java auf Ihrem Computer deaktivieren und verhindern können, dass es in Browsern ausgeführt wird.
Die wirklichen Ziele
Schrecklicherweise sind die eigentlichen Ziele dieser Angriffe möglicherweise nicht die Unternehmen selbst, sondern die von ihnen entwickelten mobilen Benutzer, für die sie Software entwickeln. "Kann man mobile Geräte nicht hacken? Okay, dann gehen Sie auf den neuesten Stand und hacken Sie Entwickler mobiler Anwendungen. An diesem Punkt können Sie dem Quellcode des Entwicklers alles geben, was Sie wollen", schrieb die Sicherheitsfirma F-Secure kurz nach Facebook in ihrem Blog gab bekannt, dass es angegriffen worden war.
"Es gibt Hunderttausende, wenn nicht Millionen von mobilen Apps auf der Welt", heißt es weiter. "Wie viele Entwickler von Apps haben Ihrer Meinung nach kürzlich eine Website für mobile Entwickler besucht? Mit einem Mac… und einem sehr falschen Sicherheitsgefühl?"
Die Kampagne im Rückblick
Diese Angriffsrunde begann zu Beginn des Monats, als Twitter zugab, Opfer eines raffinierten Angriffs gewesen zu sein, der die Informationen von 250.000 Benutzern enthüllte. Das Unternehmen hat daraufhin die Passwörter der betroffenen Benutzer automatisch zurückgesetzt.
Bereits zwei Wochen später gab Facebook bekannt, dass auch Facebook Opfer eines Zero-Day-Exploits in Java geworden war. In diesem Szenario haben wir mehr über die Strategie des Angreifers erfahren. Durch die Entführung einer beliebten Website für mobile Entwickler installierten die Angreifer mithilfe eines Java-Exploits Malware auf den Computern der Besucher.
Apple berichtete über ein ähnliches Szenario. Reuters schrieb, dass "unbekannte Hacker die Computer einiger Apple-Mitarbeiter infizierten, als sie eine Website für Software-Entwickler besuchten, die mit bösartiger Software infiziert waren" Variante gab es auch.
Obwohl dieser Angriff für Apple peinlich ist, ist es unwahrscheinlich, dass ein Patch, der diese bestimmte Sicherheitsanfälligkeit behebt, ihren Ruf in der Öffentlichkeit als Anbieter eines sicheren Produkts in Frage stellt. Wahrscheinlich sind sich viele Benutzer der Wichtigkeit dieses neuesten Updates nicht bewusst, da es recht vage formuliert ist. Es zeigt jedoch, dass Angreifer Apple mehr Aufmerksamkeit schenken und dass mit Sicherheit weitere Angriffe folgen werden.
Und wenn F-Secure Recht hat, haben wir möglicherweise noch viel mehr Probleme.
Wenn Sie mehr über Max erfahren möchten, folgen Sie ihm auf Twitter @wmaxeddy.
