Миф о невероятной безопасности macOS

Часто утверждают, что взлом компьютеров Mac невозможен, но, к сожалению, это не так. Хотя они подвергаются атакам реже, чем компьютеры на основе Windows, есть много успешных примеров взлома Mac с применением различных методов, начиная от фальшивых программ до использования уязвимостей. Компьютеры Mac не являются абсолютно защищенными от вредоносного программного обеспечения.

Одной из основных причин, по которой компьютеры на основе Windows подвергаются атакам чаще, является их более широкое распространение. На момент 2022 года доля macOS на мировом рынке операционных систем для настольных компьютеров составляла составляла 15%. Киберпреступники чаще выбирают направление, где вероятность получить прибыль выше, что делает пользователей Windows более привлекательной целью. Однако это не означает, что пользователи Mac не подвержены риску.

Признавая этот риск, компания Apple хорошо поработала над безопасностью операционной системы. Вот некоторые защитные функции macOS:

• Gatekeeper – технология, разрешающая запуск приложений только из надежных источников.
• Защитные функции Secure Enclave для компьютеров с чипами M1 и M2, а также T1 и T2, обеспечивающие безопасную загрузку и шифрование.
• Встроенная антивирусная система Apple XProtect, обнаруживающая и предотвращающая запуск вредоносного программного обеспечения.

Вместе эти меры создают серьезные преграды для злоумышленников, направленных на атаки Mac. Тем не менее, в системе безопасности всегда существуют уязвимости, известные как "zero-day", которые могут быть использованы для взлома. Если исследователи безопасности обнаруживают такие уязвимости, они, как правило, информируют Apple для исправления до того, как ими воспользуются злоумышленники.

Компания реагирует быстро, но иногда ее критиковали за медлительность, которая оставляла пользователей без защиты и позволяла киберпреступникам эксплуатировать уязвимости.

Какое-то время у команды проекта Macintosh было свое тотемное животное — коробака (корова-собака) по кличке Кларус.

Как часто взламывают компьютеры Mac?

Взлом MacBook происходит довольно редко, но примеры успешных атак конечно есть. Вот самые заметные из них:

В 2022 году компания Apple посоветовала пользователям немедленно обновить устройства MacBook (а также iPhone и iPad), чтобы исправить две уязвимости, позволявшие злоумышленникам получить полный контроль над устройством. Apple получила подтвержденную информацию о том, что киберпреступники использовали эти уязвимости для атак на пользователей. Одна из программных уязвимостей касалась ядра, то есть самого глубокого уровня операционной системы. Другая находилась в движке браузера Safari, WebKit.

В 2021 году студент Райан Пикрен обнаружил в MacBook уязвимость которая позволяла захватить контроль над веб-камерой компьютера. Компания исправила проблему в операционной системе macOS Monterey 12.0.1 и выплатила студенту 100 тыс. долл.

В 2019 году исследователь кибербезопасности по имени Филиппо Кавалларин выявил уязвимость в Gatekeeper, о которой сообщил Apple. Пока уязвимость не была исправлена, она могла позволить вредоносному ПО обходить защитные механизмы Gatekeeper. Поскольку в течение 90 дней уязвимость не была исправлена, Кавалларин опубликовал информацию о ней.

В 2018 году появились сообщения об эксплуатируемых уязвимостях Meltdown и Spectre в процессорах Intel и ARM. Компания Apple подтвердила, что они затрагивали все компьютеры Mac и устройства iOS, хотя ни один из найденных эксплойтов не повредил пользователям. Apple устранила риск, обновив операционную систему и исправив все уязвимости.

Взламывают даже батареи

Проблема батарей MacBook в том, что они шибко умные. У каждой батареи есть специальный чип с системным программным обеспечением, который позволяет ей взаимодействовать с другими компонентами и контролировать расход энергии.

«Белый» хакер и заядлый пользователь продукции Apple Чарли Миллер на конференции Black Hat в 2015 году показал, что управлять батареями можно удалённо. Он использовал стандартный заводской пароль, чтобы получить доступ в микропрограмме контролера заряда батареи Texas Intruments. При сборке ноутбука его почему-то не сменили.

Радует только то, что подобные взломы осуществляют в основном для демонстрации самой возможности получения доступа. Или из хулиганских побуждений. Массовый характер они пока не носят.

Примеры взлома Mac

Криптоджекинг

Извлечение криптовалюты с помощью процессора и памяти чужого компьютера. Это может сильно снизить производительность ноутбука.

Программы-шифровальщики

Шифровальщики блокируют доступ пользователя к программам и файлам на устройстве и выдают сообщения с требованием заплатить выкуп. Примером может быть программа KeRanger, которую злоумышленники использовали для шифрования файлов на компьютерах Mac, а потом требовали у пользователей деньги, чтобы восстановить доступ. К счастью, исследователи безопасности обнаружили KeRanger раньше, чем он стал серьезной опасностью.

Шпионское ПО

С помощью шпионских программ злоумышленники похищают конфиденциальные данные пользователя, например учетные. В частности, кейлоггеры (клавиатурные шпионы) позволяют записать текст, который вы набираете на клавиатуре, и таким образом украсть информацию для входа в учетную запись. Так, шпионская программа OSX/OpinionSpy использовалась для кражи данных с компьютеров Mac с последующей продажей в теневом интернете.

Ботнеты

В этом случае ваш компьютер используется как удаленный узел сети для рассылки спама. Например, ботнет-троянец OSX. FlashBack заразил более 600 000 компьютеров Mac.

Экспериментальные зловреды

Иногда угроза не имеет реальных последствий, а существует только в виде экспериментальной версии, созданной с учетом пробелов в системе безопасности или уязвимостей в коде Apple. Например, команда Google Project Zero создала код BuggyCow, который мог получить доступ к компонентам macOS через ошибку в системе управления памятью. Хотя экспериментальные зловреды представляют меньшую угрозу, их все же могут использовать злоумышленники, если Apple не успевает исправить уязвимость.

Эксплойты портов

Взлом не всегда связан с загрузкой вредоносного ПО. Получить несанкционированный доступ к компьютеру Mac можно через порт USB или Thunderbolt – поэтому всегда следует быть осторожным с подключаемыми устройствами и не оставлять компьютер без присмотра. Например, в 2019 году эксплойт checkm8 давал злоумышленникам возможность получить доступ к чипу T2 через подключение с использованием модифицированного кабеля USB-C. Аналогичный случай – использование метода атаки Thunderspy в 2020 году, который позволял использовать уязвимость порта Thunderbolt для получения доступа к Mac.

Руткиты

Руткиты позволяют злоумышленникам скрыто получить доступ к устройству.

Признаки взлома Mac

Компьютер работает слишком медленно

Это может быть признаком того, что вредоносные программы или киберпреступники занимают его для добычи криптовалют или проведения DDoS-атак.

Вентилятор работает громче, чем обычно

Это тоже может быть свидетельством того, что на компьютере есть вредоносная программа, которая нагружает систему и увеличивает нагрузку на механические компоненты, вызывая их перегрев.

В браузере появились новые панели инструментов или расширения

Если вы обнаружили расширения, которые вы не устанавливали, это может означать, что ваш компьютер Mac подвергся взлому и трафик с него направляется на вредоносные внешние сайты.

Вы видите больше всплывающих окон, чем обычно

Частое появление рекламы может указывать на наличие рекламной программы. Этот вид вредоносного ПО не опасен, он используется для получения прибыли от кликов по рекламным объявлениям.

Домашняя страница браузера изменилась

Это может сигнализировать о взломе системы – обычно злоумышленники таким образом пытаются привлечь пользователя на опасный веб-сайт, чтобы повредить операционной системе.

Во время поиска происходит перенаправление на различные сайты

Система может быть взломана, и вас перенаправляют на опасный веб-сайт, через который злоумышленники могут украсть данные и нанести еще больше вреда.

Вы не можете открыть личные файлы

Это может случиться в результате инфицирования троянской программой или программой-шифровальщиком. Если вы видите на экране предупреждение или сообщение с требованием выкупа, значит вы попали в ловушку шифровальщика – вредоносного ПО, используемого для вымогательства денег.

Ваши друзья получают спам от вашего имени

Если люди из вашего списка контактов получают от вас спам по электронной почте или в социальной сети, это может означать, что ваш компьютер Mac заражен вредоносным ПО, которое пытается распространить себя или другие вредоносные программы.

Ваши пароли не срабатывают

Если вы заметили, что пароли или контрольные вопросы были изменены, это может означать, что компьютер взломан.

Устройство зависает или внезапно прекращает работу

Вредоносное ПО и вирусы могут создавать высокую нагрузку на операционную систему, вызывая зависание или сбои в работе.

Уведомления о безопасности появляются даже тогда, когда вы не сканируете компьютер

Это может указывать на наличие поддельного антивируса – программы, уговаривающей пользователей установить другое, также вредоносное ПО.

Вы замечаете странности в работе веб-камеры

Если на компьютере появились видео- или аудиофайлы, которые вы не создавали, или индикатор камеры загорается, когда вы ее не используете, это может указывать на взлом камеры

Можно ли взломать веб-камеру Mac?

Вы когда-нибудь задавались вопросом, безопасна ли камера вашего Mac? Ответ: «не всегда». Например, в 2020 году специалист по кибербезопасности обнаружил проблему в macOS, которая позволяла хакерам получить доступ к камере, если пользователь перешел по одной злонамеренной ссылке. Хотя эту проблему исправили, существует шанс, что хакеры могут найти другие, такие же опасные. Вот каковы признаки взлома веб-камеры компьютера Mac:

Индикатор веб-камеры включается сам по себе

Если индикатор веб-камеры на вашем компьютере Mac горит, это значит, что камера включена. Если индикатор включается или мигает без вашего ведома, это может быть признаком как сбоя программы или оборудования, так и взлома веб-камеры.

Вы находите незнакомые видео и фото в папке веб-камеры

Если вы обнаруживаете видео или фото, которые вы не делали, это может быть признаком взлома камеры. Чаще всего незнакомые медиафайлы находятся в медиатеке приложения Photo Booth. Как это проверить:

В меню Finder выберите «Переход» > «Переход к папке».
Введите следующий путь и нажмите «Перейти»: ~/Pictures/Photo Booth Library/Pictures
Выберите папку «Медиатека Фото».

Откройте папку и посмотрите, есть ли в ней фото или видео, которые вы не узнаете.
Однако хакеры могут сохранять медиафайлы в любую другую папку на компьютере Mac. Поэтому, если вы не нашли незнакомых файлов в медиатеке, это не значит, что устройство безопасно.

Резкие скачки сетевого трафика

Если ваш сетевой трафик внезапно увеличивается без видимой причины, это может означать, что кто-то отправляет в интернет запись с веб-камеры. Как проверить сетевой трафик:

В папке «Программы» выберите «Утилиты».
Откройте приложение «Мониторинг системы» и выберите «Сеть».
Просмотрите процессы с высокой сетевой активностью.

Сообщение с требованием выкупа

После взлома веб-камеры Mac хакеры могут отправить сообщение с требованием выкупа по электронной почте или создать его прямо на устройстве. Обычно они просят деньги за то, что не будут размещать видео или фото, сделанные вашей веб-камерой. Прежде чем платить выкуп, спросите себя: «Моя камера действительно взломана»? Не спешите отвечать шантажистам и отправлять деньги. Киберпреступники часто лгут и заставляют думать, что за вами следят, но при этом веб-камера может быть не взломана.

Как защитить учетную запись в iCloud от взлома?

Пользователи устройств Apple используют сервис iCloud для сохранения важных файлов. Как и большинство продуктов Apple, хранилище iCloud считается надежным, но это не значит, что отдельные учетные записи нельзя взломать. Все, что нужно для доступа к вашей учетной записи в iCloud, – узнать пароль. Вот несколько методов, которые хакеры могут для этого применять:

Фишинг: например, создание веб-сайтов с адресом, похожим на iCloud.com, чтобы заставить пользователей ввести свои учетные данные, а затем использовать их для доступа.

Вредоносные приложения: Apple очень серьезно относится к вредоносному ПО и хорошо защищает App Store. Но, как и в Google Play, иногда зараженные вредоносным кодом приложения проникают в магазин и могут использоваться для кражи пароля.

Скомпрометированные компьютеры: входя в учетную запись iCloud не через устройства Apple, вы рискуете. Хотя вредоносное ПО довольно редко заражает устройства Apple, на устройствах Windows это происходит чаще.

Клавиатурные шпионы и троянцы удаленного доступа: эти зловреды позволяют украсть пароль iCloud во время входа.

Использование одинаковых данных для входа в разные учетные записи: если один из сайтов с таким же именем пользователя и паролем будет скомпрометирован, хакеры получат учетные данные для доступа в iCloud. Кроме того, хакеры используют специальные программы для автоматического подбора паролей и контрольных вопросов iCloud, которые пробуют разные варианты, пока не найдут нужные данные.

Как понять, что учетная запись iCloud взломана?

Ваши данные в учетной записи iCloud могут быть скомпрометированы без вашего ведома. Однако существуют определенные признаки, по которым можно определить возможный взлом:

• Получение уведомления от Apple о входе в вашу учетную запись с неизвестного устройства или изменении пароля
• Невозможность входа в учетную запись из-за нерабочего пароля.
• Изменения данных в вашей учетной записи
• Обнаружение несанкционированных покупок в iTunes или App Store.
• Блокировка или активация режима пропажи на ваших устройствах Apple.

Если у вас есть подозрения о взломе учетной записи iCloud, выполните следующие шаги:

• Попробуйте войти в учетную запись iCloud. Если не удается, попробуйте сбросить пароль или восстановить доступ через контрольные вопросы.
• Если удается войти, немедленно измените пароль, используя надежные пароли.
• Если учетная запись связана с банковской картой, заблокируйте ее, чтобы предотвратить финансовые потери.
• Проверьте данные учетной записи и обновите измененные сведения.
• Проверьте контрольные вопросы на предмет невозможности угадывания ответов.
• Проверьте безопасность учетной записи электронной почты, связанной с iCloud, и измените пароль, если необходимо.

В случае отсутствия двухфакторной аутентификации (2FA), активируйте ее.
Учитывая количество пользователей iCloud, неудивительно, что злоумышленники атакуют этот сервис. Где бы люди ни хранили ценную информацию, киберпреступники стремятся похитить ее ради наживы.

Как защитить компьютер Mac от хакеров

Не отключайте автоматические обновления

Важно своевременно обновлять приложения и операционную систему компьютера Mac, чтобы устранять выявленные разработчиками уязвимости. Если вы отключите обновления, злоумышленники смогут использовать эти уязвимости для доступа к вашим данным. В современных компьютерах Mac автоматические обновления включены по умолчанию – но не помешает проверить, что они загружаются на ваше устройство.

Настройка проверки обновлений программного обеспечения:

• Откройте «Системные настройки» > «Обновление ПО».
• Нажмите кнопку «Дополнительно».
• Установите все флажки.
• После этого может потребоваться перезагрузить компьютер.

Настройка автоматического обновления приложений:

• В приложении «Системные настройки» щелкните значок App Store и включите автоматические обновления.

Подключайте компьютер Mac к маршрутизатору, а не к широкополосному модему

При подключении напрямую к широкополосному модему компьютер получает публичный IP-адрес. Это делает компьютер уязвимым перед выборочным сканированием сети. Подключение к маршрутизатору безопаснее, так как он использует трансляцию сетевых адресов и присваивает компьютеру IP-адрес, доступ к которому можно получить только из домашней сети.

Используйте шифрование, чтобы не дать злоумышленникам проникнуть в вашу беспроводную сеть

Шифрование маскирует ваш беспроводной трафик под бесполезные данные, а чтобы вернуть их в исходную форму, необходим ASCII-ключ, который задаете вы. Используйте WPA2-шифрование – в этом случае для подбора ключа шифрования потребуется значительное количество времени и вычислительной мощности.

Включите встроенный сетевой экран

В устройствах Apple есть встроенный сетевой экран (или «брандмауэр») для блокирования нежелательных входящих подключений и защиты самого устройства и сети от вредоносного ПО. Он обеспечивает надежный слой защиты, но по умолчанию выключен. Его нужно будет активировать вручную. Как это сделать:

• Откройте «Системные настройки» и выберите «Защита и безопасность».
• Выберите вкладку «Брандмауэр».
• Нажмите кнопку «Включить брандмауэр».

Опытные пользователи могут открыть раздел «Параметры» для дополнительной настройки. Можно также оставить настройки по умолчанию. Помните, что брандмауэр Apple защищает устройство от входящего трафика, но не блокирует отправку информации с него. Для дополнительной защиты можно использовать сетевой экран другого поставщика с расширенными функциями.

Используйте учетную запись пользователя с ограниченными правами вместо учетной записи администратора

Так вы предотвратите автоматическую установку программного обеспечения на компьютер без вашего разрешения, так как для этого требуется ввести пароль администратора.

Соблюдайте кибергигиену

Не переходите по ссылкам в сообщениях электронной почты и читайте обзоры из доверенных источников перед тем, как загрузить незнакомую программу. Посещая веб-сайт, на котором нужно вводить конфиденциальные учетные данные, всегда вводите адрес напрямую в адресную строку или используйте закладку в браузере. Обращайте внимание на индикаторы защиты сайта, например сертификат SSL: адрес сайта должен начинаться с HTTPS, а не HTTP.

Используйте надежный антивирус

Надежный антивирус с регулярными обновлениями обеспечит полную безопасность работы в интернете, онлайн-платежей, чатов и данных, а также оптимальную производительность вашего компьютера Mac. Кроме того, он будет проверять каждый посещаемый веб-сайт на наличие киберугроз, например опасности фишинга.