Thunderstrike 2 Computerwurm nistet sich in Apple-Hardware ein

Computerexperten haben eine Schadsoftware entwickelt, die auf Apple-Rechnern sogar das Formatieren der Festplatte übersteht. Zum Glück ist das Ganze nur ein Forschungsprojekt - im Gegensatz zu einer anderen aktuellen Sicherheitslücke.

Apple-Schnittstelle Thunderbolt: Der Schädling kann über Computerzubehör verbreitet werden
Matthias Kremp

Apple-Schnittstelle Thunderbolt: Der Schädling kann über Computerzubehör verbreitet werden


Zwei aktuelle Meldungen rütteln an dem Mythos, dass man bei Apple-Computern keine Angst vor Hackerangriffen haben muss. Eine davon ist ein Forschungsprojekt, genannt "Thunderstrike 2". Wie die entsprechende Lücke funktioniert, haben die US-Forscher Xeno Kovah, Trammell Hudson und Corey Kallenberg dem Tech-Magazin "Wired" gezeigt.

Die Technik der drei Experten umgeht auf perfide Weise allerlei Sicherheitsvorkehrungen, mit denen man sich gegen Angriffe schützen könnte. Eine E-Mail, versehen mit einem Link zu einer manipulierten Webseite, reicht aus, um die Software auf den Rechner eines Opfers zu bringen.

Anders als ein normaler Computervirus installiert sich der Schädling nicht auf der Festplatte. Stattdessen schmuggelt er sich in die sogenannte Firmware ein, ein Teil des Rechners, der fest zur Hardware gehört.

Die Firmware ist sozusagen das Grundprogramm jedes Computers, ein in einen Speicherbaustein einprogrammiertes Mini-Betriebssystem, das den Computerstart ermöglicht, indem es den verschiedenen Komponenten des Rechners Befehle erteilt. So wird etwa die Festplatte angesprochen und das Betriebssystem geladen.

Auch ein Plattentausch bringt nichts

Ein Wurm wie "Thunderstrike 2", der sich in der Firmware einnistet, ist von Antivirensoftware kaum zu erkennen. Er übersteht die Neuinstallation des Betriebssystems und könnte sogar nach dem Austausch der Festplatte wieder aktiv werden.

Aber die Angriffstechnik von "Thunderstrike 2" geht noch weiter: Um sich selbst zu verbreiten, braucht der Wurm kein Internet und keine Netzwerke. Vielmehr, so erklären es die Forscher, kann er sich über Computerzubehör auf weitere Rechner kopieren. Das funktioniert, indem er sich in die Hardware beispielsweise von Thunderbolt-auf-Ethernet-Adaptern oder SSD-Festplatten installiert.

Schließt man ein infiziertes Gerät an einen anderen Rechner an, kopiert sich Thunderstrike 2 in dessen Firmware. Theoretisch, so die Forscher, wäre es deshalb denkbar, dass jemand die Schadsoftware verbreitet, indem er bei eBay infizierte Ethernet-Adapter anbietet. Im schlimmsten Fall könnte die Infektion bereits in der Fabrik erfolgen.

Ein echtes PC-Problem

Ein auf Macs beschränktes Phänomen ist die Angriffsmöglichkeit allerdings nicht. Vergangenes Jahr entdeckten die Forscher ähnliche Sicherheitslücken in der Firmware von Computern von Dell, Lenovo, Samsung und HP. Dass sich einige dieser Lücken auch bei Macs ausnutzen lassen, entdeckten sie aber erst vor Kurzem.

Zumindest eine der Schwachstellen hat Apple bereits per Update beseitigt, schreibt "Wired", eine weitere ist zumindest teilweise behoben. Es gebe aber noch immer drei Lücken, die noch nicht gestopft worden seien. Ein Grund zur Panik ist das Ganze trotzdem nicht, da die Technik der Forscher noch nicht von Kriminellen ausgenutzt wird.

Eine akute Bedrohung

Eine akute Gefahr meldete am Montagabend allerdings das Sicherheitsunternehmen Malwarebytes. Demnach nutzen Unbekannte offenbar eine andere Sicherheitslücke im aktuellen Mac OS X aus. Die DYLD_PRINT_TO_FILE genannte Schwachstelle soll es Angreifern ermöglichen, sich durch die Modifikation einer versteckten Unix-Datei Administratorzugriff zum Betriebssystem zu verschaffen, selbst wenn sie das Passwort des Anwenders nicht kennen.

Der Sicherheitsexperte Stefan Esser hatte vor Kurzem auf die Sicherheitslücke aufmerksam gemacht. Per Blogpost erklärte er im Juli, dass es unklar sei, ob Apple sich des Problems bewusst ist. Während der Fehler im aktuellen OS X 10.10.4, Yosemite, zu finden sei, sei er in der Betaversion von OS X 10.11, El Capitan, bereits behoben.

Nervige Werbesoftware

Laut Malwarebytes nutzt nun eine Schadsoftware die von Esser entdeckte und publik gemachte Sicherheitslücke aus, um Macs verschiedene Adware-Programme unterzuschieben. Diese Programme nerven die Anwender mit Werbeeinblendungen und stehen oft im Ruf, die Stabilität des Systems zu gefährden. Unter anderem würden so etwa die Programme Vsearch, Genieo und MacKeeper installiert. Eine Google-Suche nach diesem Programm-Namen fördert in erster Linie Deinstallationsanleitungen zutage.

Bisher habe Apple das Problem leider nicht gelöst, so Malwarebytes. Zudem gebe es "keine gute Möglichkeit, sich dagegen zu schützen". Zwar gibt es eine von Esser auf dem Programmiererportal "Github" veröffentlichte Schutzsoftware, doch die zu installieren, ist für normale Anwender kaum möglich.

Bis Apple ein Sicherheitsupdate veröffentlicht, rät Malwarebytes Mac-Besitzern dazu, besonders genau darauf zu achten, was sie aus dem Netz herunterladen. Aber das sollte man ja sowieso immer.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 51 Beiträge
Alle Kommentare öffnen
Seite 1
mhwse 04.08.2015
1. Jaha
wir machen Hardware und Software in einer Firma .. damit ist das System optimal, stabil und sicher .. genau. Selbstüberschätzung kommt vor dem Desaster. Nokia war mal Marktführer .. inzwischen werden die iDingens schon verschenkt .. und keiner wills haben ..
mhwse 04.08.2015
2. 2.
hab schon alle Seiten rauf und runter gesurft um das (android) Ding zu infizieren - leider ohne Erfolg. (vorher natürlich einen Snapshot vom lauffähigen System gemacht .. ) Also ebeso theoretisch .. (hoffe ja mal auf eine aufgeheizte Diskussion.. aber in der letzten Zeit schwächelt das etwas .. alle sind immer so konstruktiv neuerdings; androiden Benutzer die Apple Umarmer wurden und umgekehrt .. am Schluss schreiben wir uns wieder Briefe auf Papier? )
mac4me 04.08.2015
3. Wie ging...
Zitat von mhwsewir machen Hardware und Software in einer Firma .. damit ist das System optimal, stabil und sicher .. genau. Selbstüberschätzung kommt vor dem Desaster. Nokia war mal Marktführer .. inzwischen werden die iDingens schon verschenkt .. und keiner wills haben ..
...gleich das Sprichwort mit dem Splitter im Auge des anderen und den Balken vor dem eigenen Kopf? Sicherheit ist immer nur relativ, selbstverständlich auch für Macs. Aber da ist es eben immer noch relativ sicher, Hard- und Software aus einer Hand zu haben. Infizierte Firmware ist eine Horrorvorstellung für jeden Jardwarehersteller - ich bin sicher, die Lücke wird bald behoben werden. Bei der Vielzahl der BIOSse auf PCs ist das schon schwieriger.
GrinderFX 04.08.2015
4.
Zitat von mhwsewir machen Hardware und Software in einer Firma .. damit ist das System optimal, stabil und sicher .. genau. Selbstüberschätzung kommt vor dem Desaster. Nokia war mal Marktführer .. inzwischen werden die iDingens schon verschenkt .. und keiner wills haben ..
Nur verstehen vermutlich 99% hier, wie auch sie, wieder mal nicht, dass man die Firmware, zumindest Remote, selber installieren muss, sprich, erst downloaden, dann installieren, dann Passwort eingeben, vorher nur mindestens 2 mal bestätigen, dass man den Virus wirklich installieren möchte und erst wirklich dann, ist dieser Aktiv. Einzig bei bereits infizierter Hardware kann dies anscheinend sofort passieren. Ob da eine Passworteingabe benötigt wird, wird hier ja wie immer absichtlich verschwiegen, da es sich sonst ja nicht so reißerisch anhören würde. Das wird ja jedes mal immer wieder gerne verschwiegen!
cptlars 04.08.2015
5. Das ist doch eh
nur Panikmache... niemals gab oder wird es jemals einen Virus für einen angefressenen Apfel geben. .. Irrtum ihr Obst Freunde. .. es gibt keine Software die zu 100% Sicherheit gewährleisten kann. ..
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.