Apple:這是Java的原罪

  早在2010年十月,Apple就宣布他們將會放棄對Java的支援。這並不會影響到Oracle去直接支援這個Unix系統平台,就跟它會支援其他的Unix作業系統一樣。因為OSX對Java更新的遲緩讓它面臨了clickjacking點擊劫持和其他惡意活動的威脅。Apple最後終於負起責任去更新了Java 6 Update 33。在那之後,Java 6的另一個變更會影響兩個不同地區的時區變化。但Apple似乎不大可能去進一步的更新OSX的Java 6。

  

 在2012年8月14日,Oracle釋出Java 7 Update 6給Mac上的Lion和Mountain Lion作業系統。Oracle對OSX的直接支援終止了Apple Java更新遲緩所受到的指責。Java的未來及相關的安全性現在顯然是握在Oracle的手上。在Oracle釋出OSX Java 7 Update 6更新版本的兩個禮拜內,一個漏洞被發現會影響Windows,而OSX和Linux上也都有相同的漏洞。這個漏洞會影響FireFox、IE 9和Safari 6。Oracle一向會及時的提供Java漏洞修補程式,也終於在近日推出更新版本修補此一漏洞,詳細資訊請參考下列網址: https://blogs.oracle.com/security/entry/security_alert_for_cve_20121

 Mac Java的背景知識

 Java是Sun在1990年代初期所開發的。這個編程環境是用來幫助跨越各種不同的作業系統,從大型主機到嵌入式裝置的作業系統。Java甚至被當成是微軟在1996年所推出的ActiveX的替代控制作法,以延伸微軟COM和OLE跟作業系統的通訊。在2000年。Windows用ActiveX來取代JavaScript作為自己瀏覽器的API。這個外掛API是為Netscape所開發。JavaScript並不是Java,但Netscape認為Java代表分散式作業系統的客戶端/伺服器解決方案。微軟Internet Explorer 5.5的ActiveX將作業系統的應用程式帶到網路上,微軟希望他們的應用程式可以在網路上被廣泛採用,以增加Windows的影響力。

 微軟對於將ActiveX擴展到他們瀏覽器的這項作法的說詞是為了要加強安全性。這時正好微軟也取消Windows Internet Name Service(WINS),而用DNS來提供名稱階層架構,也就是今天認證的基礎。ActiveX看起來是WINS的替代策略,讓微軟可以用來主宰網際網路。但是卻讓網路犯罪份子在網路上利用ActiveX來控制Windows應用程式。ActiveX並沒有讓Windows成為網際網路上的主導者,同時ActiveX也沒有提高安全性。

  在2005年,Android利用Java建立Java執行環境(JRE)。Sun在2006年11月將Java的原始碼用GPL v2開放出去。但是唯一的例外就是不包括行動應用程式。所以Google開發自己的Java虛擬機器(JVM)技術,稱為Dalvik,以避開編程介面的限制。並且將JRE的堆疊模式轉變成Java虛擬機器(JVM)的暫存器型態。

 接著,Sun在2010年被Oracle所收購。Apple並沒有替Java提供移除安裝程式,使用Java的程式可能不會取消檢查Apple的Java控制面板來直接使用Java。而許多這樣的程式也不會去注意到Oracle Java 7 Update 6的控制面板,更不會接受可用的Java 7環境位置。這些Java的問題需要一點時間來解決,但是Apple已經清楚的表達了他們的意思,不會再自動安裝Java,也不會支援Java 7。

 

Apple應用程式的規則

 在Mac App Store審核指南規則2.24指出:

 「應用程式使用不適用或需額外安裝的技術(例如Java、Rosetta)將會被拒絕」

 控制應用程式的更新,可被允許的元資料和捷徑、禁止未經使用者同意就自動啟動和禁止下載其他應用程式或修改 – 所有的這一切都是為了提高安全性的目標。但是如果還是允許Java的話,執行這些安全措施並不實際,也會讓網路犯罪份子更加容易攻擊成功。

   繼續閱讀

OSX_FLASHBCK打破Mac OS不易中毒的說法,下一波可能是網路銀行木馬攻擊

上週美國逾半Mac遭該殭屍網路感染增加了大家對Mac平台安全性的疑慮, 這個被趨勢科技偵測為OSX_FLASHBCK.AB的木馬程式,持續地在資訊界成為發燒的話題,它打破了Apple公司認為自家的Mac OS不受資安威脅的想法。隨著惡意軟體攻擊的增加目標攻擊的出現。讓我們要重新思考一下Apple公司所自稱的安全。

Flashback不是指單一的惡意軟體,而是一個木馬家族,最近還有許多的後門程式。它最早是在2011年10月出現,那時偽裝成一個Flash Player的安裝程式。之後我們所看到的變種是由攻擊Java漏洞的惡意Java檔案所產生的。Flashback變種通常會透過攻擊Java漏洞來修改瀏覽器的內容。

具體地說,OSX_FLASHBCK.AB來自會攻擊CVE-2012-0507漏洞的惡意Java檔案。這個漏洞在Windows環境上,早在今年二月就已經被修補好了。而Apple在這個月才發布了相同的修補程式給Mac使用者。

https://blog.trendmicro.com/wp-content/uploads/2012/04/SPN_FLASHBACK_chart2.jpg

不管Apple公司怎麼說,Mac作業系統從來就不是真的沒有惡意軟體攻擊,更不用說是任何種類的攻擊了。趨勢科技的威脅研究經理 – Jamz Yaneza認為攻擊者最近著重在Mac OS上,有可能是因為它不斷成長的市佔率。美國是這些Mac相關威脅的首要目標,而Gartner的研究也說明了Mac在這國家的驚人佔有率。  繼續閱讀

時代變了 Mac使用者現在也會遭受目標攻擊

根據趨勢科技之前的研究顯示目標攻擊所產生的後續行為會跟作業系統有關,而最近我們又看到有惡意檔案會以Mac OSX作為目標。這個被偵測為TROJ_MDROPR.LB的惡意軟體是一支木馬,被用在對西藏的目標攻擊活動裡,最初是由Alienvault所提報的。

 在調查該活動時,趨勢科技發現被用在這次特定攻擊裡的C&C伺服器,跟最近所看到被用在一系列對西藏目標攻擊裡的Gh0stRat所用的C&C伺服器之一是同一個。

 下面是一封包含惡意DOC檔案的電子郵件,它會產生Gh0stRat並且連到上述的C&C伺服器:

 

 時代變了 Mac使用者現在也會遭受目標攻擊

再回頭看TROJ_MDROPR.LB,趨勢科技發現關於一個被用在這次攻擊的特定惡意文件的詳細資訊:

 

 

其中一個TROJ_MDROPR.LB進行的行為是會產生並打開非惡意的DOC檔案,好欺騙使用者以為自己打開的是一個正常檔案。

繼續閱讀

近年惡名昭彰的Mac威脅

蘋果產品的強大吸引力是不可否認的。每次產品或軟體的發表都是備受矚目和期待。它最新發表的 – OS X 山獅(Mountain Lion)也不例外。雖然還沒有正式推出,但是已經有許多文章在介紹它的功能。

山獅被推薦的功能之一就是安全守門員(Gatekeeper),利用白名單來幫使用者避免下載到不好的應用程式。這個功能會限制只有特定地方下載的應用程式才能執行。安全守門員計劃要有三個層級 – 只允許從 App Store下載的應用程式,只允許App Store或受信任開發人員簽章過的應用程式,以及沒有限制。雖然這個功能的用意是好的,但是犯罪份子想辦法去成功繞過或利用這個功能也只是時間上的問題。

讓系統內建這樣的安全功能可能會讓一些使用者感到意外,因為他們可能還是認為蘋果電腦很安全,並沒有惡意軟體。但事實上,趨勢科技最近才發現有新的Mac惡意軟體會將自己偽裝成圖片檔。它會植入另外一個惡意檔案去執行指令,藉以蒐集受感染系統上的資料。

雖然Mac惡意軟體的數量並不像Windows上那麼多,但這並不代表可以對Mac惡意軟體掉以輕心。就跟Windows一樣,Mac惡意軟體也會在受感染系統上造成嚴重的傷害。在我們的資料圖表 – 「爛到骨子裡」,我們要來看一看過去這幾年最惡名昭彰的Mac惡意軟體。

               趨勢科技的Smart Surfing for Mac可以封鎖惡意網址連結,並定期掃描Mac上的惡意軟體來偵測並清除病毒和間諜軟體。中文版即將上市,敬請鎖定趨勢科技粉絲頁相關訊息                

趨勢科技的Smart Surfing for Mac可以封鎖惡意網址連結,並定期掃描Mac上的惡意軟體來偵測並清除病毒和間諜軟體。–>即刻下載試用
中文版即將上市,敬請鎖定趨勢科技粉絲頁相關訊息公告。

 

@原文出處:A Look into the Most Notorious Mac Threats作者:Abigail Pichel

@延伸閱讀

時代變了 Mac使用者現在也會遭受目標攻擊
如何打擊假防毒軟體來保護你的Mac
搜尋 Google圖片竟被導入惡意網頁, Mac 用戶也受駭
假防毒軟體在 Mac OS X 作業系統上的感染過程
利用 iOS 漏洞的 iPhone 線上破解

 
◎ 歡迎加入趨勢科技社群網站

不要騙我,SIRI

作者:趨勢科技Ben April (資深威脅研究員)

Applidium的研究人員最近發表了一個有趣的報告,是關於Siri使用的通訊協定。每一次使用者對Siri發出指令,iPhone 4都會將這指令的語音壓縮後送回Apple的伺服器來轉換成文字。然後,對應成iPhone可以理解的命令再送回手機。

這個通訊協定以HTTPS為基礎,想要攔截或是欺騙它需要有一個有效的SSL憑證給 guzzoni.apple.com或是想辦法讓設備認為你的憑證是有效的。然後還必須劫持DNS,讓手機認為那個你所控制的IP位址就是guzzoni.apple.com。這篇Applidium的文章解釋的非常清楚,所以就讓我們來談談可以做些什麼。

我先從正面、有創造性的事情開始。理論上,如果你有一個有效的iPhone 4S ID,那應該可以很容易的將Siri移植到任何設備。只要這個設備可以錄音,而且又裝了可和網路連線的應用程式就行了。這包括了筆記型電腦、平板電腦、智慧型手機、甚至冰箱和洗衣機。

你甚至可以建立自己的Siri伺服器來和已啟動Siri的設備交談。就可以應用在日常生活上,像是執行「開燈」、「關車庫門」等指令。這也可以跟工作整合:想像一下,將這系統和你的例行工作結合,可以讓你的工作流程照你的語音命令來執行。任何可以寫成腳本的事情都可以用Siri來執行。

不幸的是,也有可能拿來做一些不那麼善良的事情。比方說,我們假設攻擊者已經成功地在設備內加入了自己的憑證,而且也用某種方法控制了DNS的回應,而這二者都是要攔截Siri通訊的必要條件。

最可能出現的就是中間人攻擊(man-in-the-middle),可以截獲所有Siri接收的指令和回應。單單這麼做可能沒有用,但是你發給Siri的指令可能會得到違背你原意的動作。很快的,我們就可以很輕易的變更該有的回應,像是改變股市行情,或是想要打給某個聯絡簿上的同事,卻被置換了指令。所以可以將通話先接到不同的號碼,再轉發給原本你想聯絡的對象,然後記錄談話內容。這需要先能了解受害人的地址簿,但是對一個真正想要攻擊的人來說還是能做到的。

Apple有許多方法可以解決這個問題。最完整的作法就是使用一個盤問與回應(Challenge-Response)認證系統。要求伺服器的 SSL金鑰要能對應給定的金鑰ID,或是比較可行的,使用帶有編號的金鑰。無論是哪種方式,如果真的出問題的時候,只有Apple有能力去解決它。

@原文出處:Siri, Don’t Lie To Me

 

◎ 歡迎加入趨勢科技社群網站