Gefahr für Mac aus dem Netz: Was ist wirklich dran?

Einmal mehr geistert eine neue Warnung vor einer Bedrohung für Mac-User durch das Netz: Symantec warnt vor dem Mac OS X-Wurm Tored. Doch wie gross ist die Gefahr wirklich? Rich Mogull behauptet, viele Sicherheitshinweise dienen in erster Linie dazu, Nachrichtenspalten zu füllen und die Aufmerksamkeit auf die Anbieter von Sicherheitssoftware zu lenken. Oft machen Meldungen die Runde, die weder aktuell sind, noch stellt die genannte Bedrohung eine unmittelbare Gefahr dar. Anhand von Mogulls Fragen-Katalog prüft die Redaktion von MACup die mögliche Bedrohung.

Basiert die Mitteilung auf einer Presseinformation eines Herstellers?

Ja, die Information stammt von Symantec. Der Softwarehersteller bietet selbst Antiviren-Programme an und profitiert damit direkt von einer Bedrohung durch Schadsoftware, seine Lösungen sollen den Mac schliesslich wieder sicher machen. Allerdings ist Symantec naturgemäss auch einer der ersten, der eine Bedrohung erkennen muss: Dies ist Teil seiner Dienstleistung, er muss möglichst früh ein Update seiner Software zur Verfügung stellen.

Wie aktuell ist die Meldung?

Symantec will die Bedrohung am 5. Mai entdeckt haben und hat dazu unmittelbar eine Sicherheitswarnung veröffentlicht. Intego allerdings hat die Sichtung von Tored.A bereits am 22. April gemeldet, ebenfalls in einer Pressemitteilung. Intego nennt die Schadsoftware ein "Proof of concept" und sieht sie am 22. April noch nicht im Netz verbreitet. Das Risiko stufen die Sicherheitsexperten als "sehr niedrig" ein, zudem sei ihm Code noch ein Fehler.

Ist das geschilderte Sicherheitsproblem wirklich neu?

Tored.A ist eine neue Art von Bedrohung, da der Wurm mit RealBasic programmiert wurde - dies ist ungewöhnlich und kommt am Mac zum ersten Mal vor.

Wo ist die Sicherheitslücke und wie funktioniert ein Angriff?

Aus den Beschreibungen der Antivirenhersteller geht nicht hervor, dass Tored.A eine Sicherheitslücke ausnutzt. Wahrscheinlich bedient er sich der Unbedarftheit des Anwenders, der zunächst einen unbekannten Anhang in einer Mail manuell öffnen muss. Dann kopiert sich die Schadsoftware in den Systemordner System/Library/StartupItems und nennt sich dort in "applesystem" oder "systemupdate" um, schreibt Intego. Nun versucht der Wurm, Tasteneingaben mitzuschreiben und diese zu verschicken, ausserdem wartet er auf Befehle aus dem Internet. Der Server, an den Tored seine Informationen senden will, existiert derzeit nicht.

Verteidigt der Verfasser Mac OS X mit Argumenten, die auf längst vergangene Zeiten verweisen?

Nein, sowohl Symantec als auch Intego haben ihre Sicherheitswarnung nüchtern formuliert. Auf die Sicherheit von Mac OS X pochen sie als Hersteller von Antivirensoftware naturgemäss nicht, sie schüren aber auch keine Panik und weisen auf das geringe Risiko einer Verbreitung hin.

Fazit

Immer wieder versuchen Programmierer von Viren, die Grenzen von Mac OS X aufzuzeigen - dies scheint erneut jemandem gelungen zu sein. Für die Antivirenhersteller ist das ein gefundenes Fressen, Tored.A zeigt aber auch allgemein, dass kein Mac vor Angriffen gefeit ist. Von einer Bedrohung durch den Wurm kann aktuell allerdings keine Rede sein. (ph/macup)