Apple macOS Kamera, Mikrofon in Gefahr, warnt Forscher

Mac-Malware nutzt integrierte Kamera und Mikrofon, um heimlich zu spionieren

Patrick Wardle, Forschungsdirektor bei Synack, demonstrierte, wie Malware leicht auf legitime, vom Benutzer initiierte Video- und Audiositzungen „aufspringen“ kann, indem sie Zugriff auf die Webcam und das Mikrofon eines macOS-Geräts erhält und ihre Spionageaktivitäten verborgen hält.

Malware mit dieser Fähigkeit muss in der Lage sein, eine vom Benutzer initiierte Webcam-Sitzung zu erkennen, ihre eigene Aufnahme zu starten und sie zu beenden, sobald die legitime Sitzung vorbei ist, damit die Kamera und die hardwarebasierte LED-Anzeige abgeschaltet werden können.

Jedes MacBook, das Apple seit mehr als einem Jahrzehnt ausgeliefert hat, ist mit einer integrierten Kamera und einem Mikrofon ausgestattet. Es gibt ein LED-Licht auf einem MacBook, das anzeigt, wenn die Kamera des Geräts aktiv ist. Laut Wardles Analyse ist die Hardwaresicherheit zum Deaktivieren der LED-Anzeige sehr stark. Es gibt jedoch legitime Anwendungen, die auf eine Webcam zugreifen können, wenn ein Benutzer erwartet, dass das LED-Licht angeht.

Wardle wollte mithilfe einer unautorisierten Anwendung feststellen, ob es möglich ist, einen macOS-Benutzer ohne dessen Wissen zu verfolgen und aufzuzeichnen, indem er auf die legitime Nutzung der Kamera aufspringt. Es stellte sich heraus, dass die Webcam eine gemeinsame Ressource in macOS ist, was bedeutet, dass die Benutzer möglicherweise sowohl FaceTime- als auch Skype-Videoanwendungen gleichzeitig nutzen können, wenn sie möchten.

„Im Grunde genommen überwacht die Malware ein macOS-System auf der Suche nach einer legitimen Webcam-Sitzung“, sagte Wardle. „Die Malware kann dann auf die Webcam zugreifen und den lokalen Benutzer aufzeichnen.“

Es gibt jedoch einige Einschränkungen für Wardles Angriffsszenario. Erstens muss der macOS-Benutzer von einer Quelle mit Malware infiziert sein, um die unautorisierte Nutzung der Kamera zu ermöglichen. Wardle stellte fest, dass es Beispiele für legitime macOS-Apps gibt, die in irgendeiner Weise kompromittiert wurden, um zu Malware zu werden. Das gesagt, sind die Chancen einer Malware-Infektion relativ gering, nur wenn ein Benutzer signierte Anwendungen aus dem Apple macOS App Store heruntergeladen hat.

„Es gab einen kürzlichen Anstieg von macOS-Malware, die Webcam-bewusst ist“, sagte er.

Die OS.X Eleanor-Malware wurde erstmals im Juli öffentlich erkannt, die versuchte, Apple-Nutzer aufzuzeichnen, bemerkte Wardle. Allerdings wurden die Benutzer zufällig von der Eleanor-Malware mit einem MacBook-LED-Kameraindikator aufgezeichnet, der von selbst angegangen ist, ohne dass eine andere Anwendung zuerst die Kamera gestartet hat, sagte er.

In Wardles Ansicht sollte es für Benutzer einfacher sein, zu bemerken, dass die Kamera-LED-Anzeige ihrer Geräte von selbst angeht, was ihnen signalisiert, dass etwas nicht stimmt.

„Wenn sie stattdessen diese Technik verwendet und auf die legitime Nutzung gewartet hätten und dann den Benutzer aufgezeichnet hätten, hätte die Eleanor-Malware leicht eine Erkennung vermeiden können“, sagte Wardle.

Die Fähigkeit, auf eine vorhandene Anwendung aufzuspringen, ist nicht unbedingt eine Schwachstelle, die Apple beheben könnte oder sollte, sagte Wardle. Er fügte hinzu, dass es sinnvoll sein kann, die Kamera als gemeinsame Ressource zu haben.

Wardle möchte ein Tool für macOS, das dem ähnelt, das seinen mobilen iOS-Nutzern zur Verfügung steht, bei dem ein Pop-up-Dialogfeld erscheint, wenn eine Anwendung zuerst versucht, auf die Kamera zuzugreifen, und den Benutzer fragt, ob er oder sie den Zugriff gewähren möchte.

„Ich möchte, dass macOS mehr wie iOS ist, wo es eine Warnung gibt, wenn auf die Kamera zugegriffen wird“, sagte Wardle. „Das würde es dem System ermöglichen, die Webcam weiterhin zu teilen, aber wenn Malware irgendwie versucht, auf Ihr System zuzugreifen, würden Sie eine Pop-up-Anfrage für den Zugriff sehen.“

Während Apple noch keinen Indikator für die Kameraaktivität für macOS hat, hat Wardle ein kostenloses Tool namens OverSight entwickelt, das das Mikrofon und die Webcam überwacht und den Benutzer jedes Mal benachrichtigt, wenn die Kamera und das Mikrofon seines Macs eingeschaltet sind.

OverSight kann alle Prozesse identifizieren, die auf die integrierte Kamera zugreifen und sie nutzen, erkennt sie und ermöglicht es den Benutzern, sie zu blockieren:

Aktuell kann die Software in Bezug auf Audio erkennen, dass das Mikrofon aktiviert ist, und die Benutzer darüber informieren.

Obwohl es immer einfach ist, Ihre Kamera abzudecken, um geheime Aufzeichnungen zu blockieren, ist es schwieriger, dasselbe mit dem Mikrofon zu tun.

Obwohl Wardle sich der Einschränkungen des Tools bewusst ist, sagt er, dass er weiterhin daran arbeiten wird, es zu verbessern.

„Wie bei jedem Sicherheitstool werden direkte oder proaktive Versuche, die Schutzmaßnahmen von OverSight gezielt zu umgehen, wahrscheinlich erfolgreich sein“, bemerkte er.

„Darüber hinaus verwendet die aktuelle Version von OverSight Benutzer-Modus-APIs, um Audio- und Videoereignisse zu überwachen. Daher kann jede Malware, die eine Kernel-Modus- oder Rootkit-Komponente hat, möglicherweise auf die Webcam und das Mikrofon auf unentdeckte Weise zugreifen.“

Quelle: eWEEK