Mac-Keylogger und Rootkit: Apple ein Angriffsziel auf der BlackHat
rj, den 3. August 2009Die diesjährige Blackhat brachte gleich zwei neue Angriffsvektoren für Apple-Rechner. Für das Mac-Keyboard existiert eine Möglichkeit, um die Tastatur zum Keylogger umzubauen. Der erste Proof of Concept für ein Mac-Rootkit wurde ebenso vorgestellt und hört auf den Namen Machiavelli. Zumindest in Sachen Keylogger ist ein Fix in Arbeit.
Die diesjährige Blackhat-Konferenz sorgt so auch ohne die abgesagte Live-Demo eines Hacking-Angriffs auf einen Geldautomaten für einige kalte Duschen. Immerhin: Proof of Concept bedeutet im Idealfall, dass die zugrundeliegenden Schwachstellen der demonstrierten Angriffe auf die Mac-Infrastruktur zügig gefixt werden.
Im Fall des eleganten Keypoard-Angriffs arbeitet K. Chen, Entwickler des Angriffs, bereits mit Apple zusammen, um die Lücken zu schließen. Seine Modifikation der Tastatur-Firmware nistet sich direkt im Flash-Memory eines Apple-Keyboards ein, aus dem ihn auch ein Neuaufsetzen des Systems nicht mehr entfernen kann. Einmal mit der modifizierten Firmware kompromittiert, kann das Keyboard beispielsweise als Keylogger missbraucht werden.
Abhilfe schafft theoretisch das Flashen des Keyboards. Praktisch wird an einer Lösung gearbeitet, die Modifikationen der Keyboard-Firmware erkennt, wenn solche stattgefunden haben.
Ebenso „Proof of Concept“-Status hat das Machiavelli-Rootkit, das ebenfalls auf der BlackHat vorgestellt wurde. Dino Dai Zovi fiel bereits als Autor des Mac Hacker Handbooks auf, sein „Machiavelli“ zeigt, dass es für eine Malware auch auf dem Mac möglich ist, sich extrem gut zu verbergen und Schadcode auszuführen. An sich keine Überraschung – spannender sind die Fragen, wann eine wirklich gefährliche Anwendung tatsächlich auch „in the Wild“ auftritt, und wie leicht sie einem Anwender unterzujubeln ist.