Er WireLurker farlig for oss?

Symantec og andre sikkerhetsfirmaer advarer nå Mac-brukere mot WireLurker.

Publisert Sist oppdatert

Apple har reagert raskt og har satt i verk tiltak mot den nye kinesiske sikkerhets-trusselen, som går under navnet WireLurker.

Spørsmålet er likevel om tiltakene fra Apple gir tilstrekkelig beskyttelse?

Dessuten lurer mange på om trusselen er begrenset til dem som henter piratkopiert programvare fra Kina, eller om også vanlige og lovlydige Mac- og iOS-brukere i Norden er i faresonen?

Har herjet i seks måneder

Det var sikkerhetsfirmaet Palo Alto Networks som avslørte den nye trusselen mot Mac-er og iOS-enheter.

Selskapet publisert nylig en detaljert rapport om den ondsinnede WireLurker-programvaren, som har herjet blant kinesiske brukere av Mac, iPhone og iPad de siste seks månedene – men altså først nå blitt allment kjent.

I korte trekk dreier det seg om en trojaner som man risikerer å få med på kjøpet når man laster ned Mac-programvare fra et navngitt kinesisk nettsted, Maiyadi App Store, som betegnes som et tredjeparts-nettsted.

Blant enkelte av mediene som har omtalt saken, blir programvaren fra nettstedet betegnet som piratprogramvare.

iOS-enheter er målet

Når man kobler sin iOS-enhet — en iPhone, en iPad eller en iPod touch — opp mot Mac-en ved hjelp av usb-kabel, infiseres iOS-enheten, som er det egentlige målet for angrepet.

Selv om mange iOS-brukere i dag benytter trådløs kommunikasjon mot Apples skytjeneste iCloud for å sikkerhetskopiere og synkronisere sin iPhone, iPad eller iPod touch, er det fortsatt en god del som foretrekker å kjøre prosessen mot iTunes-programvaren på sin Mac eller Windows-pc i stedet for iCloud. Da benytter man usb-oppkobling.

Det er disse brukerne som har risiko for å få sine iOS-enheter smittet. WireLuker suger tak i viktige data for å identifisere iOS-enheten, som serienummer, telefonnummer, Apple ID og det unike identifiseringsnummeret på iOS-enheten, UDID.

Men det er altså en del betingelser som må oppfylles.

Risikabel adferd

Først og fremst må man være så ivrig etter å skaffe programvare fra andre steder enn Apples nettbutikk App Store at man gjerne går til tvilsomme kinesiske nedlastingsnettsteder isteden.

Dernest må man ha slått av beskyttelsen som ligger i OS X — Mac-operativsystemet — mot å installere programmer lastet ned fra «Hvor som helst», som er formuleringen i systemvalget for Sikkerhet og personvern på Mac-en.

Man er dessuten mer utsatt dersom iOS-enheten man kobler til, er «jailbreak»-et. Dette er et slags hackertriks der man i praksis bytter ut det opprinnelige operativsystemet med en variant uten det «sikkerhetsfengselet» som man finner i det opprinnelige os-et.

På jailbreak-ede iOS-enheter kan WireLuker brukes til å modifisere operativsystemet og hente ut data fra Kontakter-programmet og Apple ID-er fra Apples Meldinger-program.

«Enterprise»-trusselen

WireLuker er imidlertid den første ondsinnede programvaren som sirkulerer ute i det fri som gjør det mulig å installere tredjeparts-applikasjoner også på iOS-enheter som ikke er jailbreak-et. Dette forutsetter riktignok at man har tilgang på verktøy for å godkjenne utrulling av spesialtilpasset Mac-programvare i bedrifter og konsern, såkalt «enterprise provisioning».

Tross begrensningene har WireLuker greid å infisere 467 Mac-programmer på det kinesiske nettstedet. I løpet av det siste halvåret er disse programmene blitt lastet ned over 350.000 ganger og kan dermed ha berørt flere hundre tusen brukere, ifølge Palo Alto Networks.

ADVARERER: Symantec er blant sikkerhetsleverandørene som nå går ut med advarsel mot WireLurker.

For å sjekke om man er blitt berørt av WireLuker, kan man benytte et verktøy som Palo Alto Networks har lagt ut på GitHub .

Apple-tiltak

Kort tid etter at Palo Alto Networks publiserte sin rapport, gikk en Apple-talsperson ut hos nettstedet iMore og bekreftet at Apple var kjent med den ondsinnede programvare rettet mot brukere i Kina.

— Vi har blokkert de identifiserte appene for å hindre at de kan startes, og som alltid anbefaler vi at brukerne laster ned og installerer programvare fra pålitelige kilder, sa Apple-talspersonen.

Apples tiltak omfatter tilbaketrekking av sertifikater som skal hindre appene fra å bli installert på nye enheter.

Nettstedet iMore skriver at de færreste har noen grunn til å frykte WireLurker og at alle enkelt kan beskytte seg mot trusselen.

Symantec advarer

Flere leverandører av sikkerhetsløsninger går nå ut og advarer mot den ondsinnede kinesiske programvaren. Blant dem er Symantec, som har lagt ut en anmodning på sine nettsider om ikke å laste ned piratprogramvare for Mac OS X fra tredjeparts nettbutikker.

Symantec advarer også mot å koble iOS-enheter opp mot datamaskiner man ikke er kjent med og vet at man kan stole på.

Ikke overraskende oppfordrer Symantec også at man installerer sikkerhetsprogramvare på sine Mac OS X-datamaskiner.

I debattfora på internett er det kommet mange kommentarer til situasjonen, der en rød tråd synes å være at nå får også Mac-brukere oppleve hvordan det er å benytte en datamaskinplattform som har fått stor nok markedsandel til å bli interessant for kriminelle.

På den andre siden skrev en annen kommentator at medienes interesse for denne saken verden over viser at mediene bare går og venter forhåpningsfullt på at Apple skal bli like mye utsatt for ondsinnet programvare som Windows-verdenen har vært det lenge. Det gjenstår å se om det er denne affæren som blir den store milepælen i så måte.