Les fichiers d'application .dmg malveillants téléchargés automatiquement constituent-ils un risque pour la sécurité s'ils ne sont jamais ouverts?

12

J'ai visité une page pour diffuser une émission de télévision et, en cliquant sur le lien du résultat de la recherche, j'ai obtenu la fenêtre contextuelle suivante:

(pop-up initial)

J'ai cliqué OK, car rien sur Chrome n'était disponible, et quand je l'ai fait, Chrome a téléchargé automatiquement un fichier appelé FlashPlayer.dmg.

Voici une photo de ce fichier:

téléchargement de fichier

Je n'ai pas ouvert le .dmgfichier ni cliqué dessus. Au lieu de cela, je suis immédiatement allé dans mon dossier de téléchargements, j'ai supprimé le fichier, puis j'ai vidé ma corbeille.

Je suis ensuite allé voir mes téléchargements sur Chrome; l'URL semble être quelque chose comme www.makeymcmacface.com/prod/...(ce que Google indique appartient au type d'adware Mac.Trojan.Genieo.33).

Ma question est la suivante: si je télécharge un .dmgfichier malveillant , mais ne clique pas dessus pour l'installer, suis-je en sécurité? Ou est-il possible qu'en visitant simplement un site Web qui installe automatiquement un .dmgfichier, j'aurais pu compromettre ma sécurité?

George Agaoglou
la source

Réponses:

5

Si je télécharge un fichier .dmg malveillant, mais ne clique pas dessus pour l'installer, suis-je en sécurité?

Tu es en sécurité. Le .dmgfichier (image disque) n'est pas le véritable programme d'installation. Le .dmg doit être double-cliqué pour l'installer avant de pouvoir exécuter n'importe quel code. Même si vous double-cliquez dessus (tant que vous laissez la fonction de sécurité Gatekeeper activée ), vous devez approuver l' downloaded from the webalerte et l'invite d'authentification pour autoriser réellement l'installation à se poursuivre.

Est-il possible qu'en visitant simplement un site Web qui installe automatiquement un fichier .dmg, j'aurais pu compromettre ma sécurité?

Non, votre sécurité n'est pas compromise sauf si vous installez manuellement le fichier . La raison en est qu'un site Web ne peut proposer qu'un .dmgfichier à télécharger. Il n'y a pas "d'installation automatique" pour un fichier d'application .dmg. Vous pouvez cliquer sur un lien (ou un bouton) pour démarrer le téléchargement, mais les images de disque elles-mêmes ne sont pas "installées" par le processus de téléchargement, ce qui signifie qu'elles ne peuvent exécuter aucun code sur votre Mac tant que vous n'avez pas saisi votre mot de passe pour les installer (encore une fois, en raison de la fonction de sécurité intégrée de macOS Gatekeeper). L'image disque est simplement enregistrée dans votre dossier désigné (généralement Téléchargements) puis attend que vous preniez d'autres mesures en double-cliquant dessus pour la monter. Pour que tout code de cette application soit exécuté, vous devez vous authentifier avec votre mot de passe.


Astuce bonus: Lorsqu'un site Web vous indique que votre lecteur flash est obsolète au moyen d'une fenêtre contextuelle comme vous l'avez montré, cela devrait être un drapeau rouge automatique! Les alertes Flash Player obsolètes ne sont presque jamais légitimes. Au lieu de cliquer sur ce OKbouton dans la notification comme vous l'avez fait, vous devez forcer la fermeture de votre navigateur: choisissez Force Quitdans le menu Apple dans la barre de menu () - ou appuyez simplement sur Command+ Option+ - Escpuis sélectionnez Chrome / Safari et appuyez sur Force Quit. Maintenez enfoncé Shifttout en ouvrant Safari pour empêcher le site Web de se recharger.

KarlC
la source
2
Au lieu de forcer la fermeture, ce qui entraînerait une perte d'onglets (ou si l'option est sélectionnée, tous les onglets à charger à nouveau lors de la prochaine ouverture de Safari, rendant ainsi la force de quitter redondante), je suggère simplement de fermer l'onglet . Un site Web avec une alerte flash obsolète ne vaut pas la peine d'être activé, la plupart du temps. De plus, sur macOS, vous pouvez fermer les onglets, que vous voyiez ou non une alerte contextuelle, car ils ont été rendus moins intrusifs.
Skeleton Bow
@SkeletonBow Au lieu de fermer l'onglet, j'installerais simplement une extension de blocage des publicités avant d'utiliser un navigateur Web.
10 Réponses
3

Vous êtes toujours en sécurité lorsque vous n'ouvrez pas le DMG car l'application est dans un conteneur et elle ne peut pas s'exécuter d'elle-même.

Conseils de sécurité concernant les téléchargements:

  1. Vous obtenez toujours une question contextuelle d'OS X si vous souhaitez ouvrir ce fichier.
  2. OS X est standard sécurisé uniquement pour les applications ouvertes qui sont téléchargées depuis l'App Store. Même si vous souhaitez installer une application qui ne provient pas de l'App Store, vous devez toujours désactiver la sécurité (via Paramètres> Sécurité et confidentialité> appuyez sur le verrou dans le coin inférieur gauche, entrez votre mot de passe et définissez `` N'importe où ''.)
rwzdoorn
la source
Pouvez-vous développer un peu "l'application est dans un conteneur". J'ai une prime à ce sujet, à la recherche d'une réponse canonique, et la vôtre est proche.
owlswipe
Il signifie que l'application que vous voyez dans le Finder n'est qu'un dossier. Le Finder voit que ce dossier a une extension .appet dessine l'icône au lieu d'un dossier, et lorsque vous cliquez dessus, il exécute l'exécutable qui se trouve dans ce dossier. Chemin d' accès à un exécutable exemple: Example.app/Contents/MacOS/Example. Vous pouvez parcourir cela pour toutes les applications; clic droit> Afficher le contenu du package. Le fichier exécutable ne peut pas s'exécuter (démarrer) lui-même. Vous ou quelque chose d'autre devriez le démarrer alors seulement cela pourrait nuire à votre PC. Même s'il fonctionne, il ne sera probablement pas en mesure de faire beaucoup de dégâts car les applications s'exécutent dans un bac à sable.
user14492
Oh, attendez que @rwzdoorn puisse également signifier autre chose, c'est-à-dire que l'application était sur une image disque non montée, il n'y a donc aucun moyen qu'elle puisse fonctionner. Les images de disque ne sont que le point de vue d'Apple sur les ZIP. Comme vous ne pouvez pas lire un .zipavant de le décompresser, vous devez monter une image disque pour obtenir son contenu. Désolé si j'ai mal compris.
user14492
@ user14492 Woah, j'apprends déjà beaucoup. Pourriez-vous poster cela + certaines informations de rwzdoorn comme réponse? Points de prime en jeu :)
owlswipe
Les deux points de cette réponse sont incorrects. 1. "Vous obtenez toujours une question contextuelle d'OS X si vous voulez ouvrir ce fichier". Uniquement si téléchargé par les applications qui définissent l'indicateur nécessaire. Si vous téléchargez le dmg via curl, par exemple, il ne sera pas mis en quarantaine et vous ne recevrez pas d'avertissement. Dans ce cas particulier , c'est très bien. 2.1. «OS X est standard sécurisé uniquement pour les applications ouvertes téléchargées depuis l'App Store». Non. Depuis l'introduction de Gatekeeper, la valeur par défaut a toujours été d'ouvrir des applications à partir du MAS et des développeurs identifiés.
user137369
1

Vous êtes probablement en sécurité

Tant que vous n'ouvrez ou n'installez rien, il est assez difficile de contracter un virus.

Si vous n'avez pas désactivé le contrôleur d'accès (un processus système interne qui garantit que les logiciels de développeurs non identifiés ne s'ouvrent pas sauf si vous saisissez un mot de passe administrateur pour confirmer qu'ils sont sûrs), vous êtes sûr à 99,99%.

Pour référence future: Un .dmgfichier est un fichier d'image disque. Même lorsque vous ouvrez un .dmg, il ne montera que le disque. Cela signifie qu'il ouvre un petit dossier sur votre bureau, un peu comme lorsque vous mettez un CD dans votre Mac. Vous ne pouvez pas modifier le dossier, vous pouvez uniquement l'éjecter. Pour éjecter le disque monté, cliquez simplement sur le petit bouton d'éjection ou faites-le glisser vers la poubelle.

Voici une citation de wikipedia sur les images disque

Une image disque Apple permet une protection sécurisée par mot de passe ainsi que la compression de fichiers, et sert donc à la fois des fonctions de sécurité et de distribution de fichiers; une telle image disque est le plus souvent utilisée pour distribuer des logiciels sur Internet.

POURTANT:

Si votre navigateur continue d'ouvrir ces publicités malveillantes, vous avez peut-être déjà un logiciel publicitaire sur votre ordinateur (vérifiez vos extensions chrome). Toute extension qui installe un nouveau moteur de recherche est probablement un logiciel publicitaire.

Conseil de pro: installez Adblock. Il est presque impossible d'obtenir un virus avec Adblock à moins que vous ne recherchiez activement des sites Web malveillants. Adblock empêchera les sites d'ouvrir ces pop-ups ennuyeux et supprimera les publicités de YouTube et essentiellement de tous les autres sites sur Internet. https://chrome.google.com/webstore/detail/adblock/gighmmpiobklfepjocnamgkkbiglidom?hl=en-US

10 Réponses
la source
1

Je vais vous faciliter la tâche.

  1. Suis-je en sécurité si un fichier suspect a été téléchargé mais n'a jamais été ouvert ou installé sur mon Mac?

Oui, vous êtes en sécurité.

  1. Suis-je en sécurité, si j'ai été redirigé vers un site Web inconnu, lorsque j'ai cliqué sur une notification affichée sur un autre site Web?

Non, pas vraiment. Il y a 99% de chances, que vous soyez infecté par des exploits 0day utilisés par des pirates, de transformer votre ordinateur en leur bot. Afin de vous protéger de telles tentatives et attaques de piratage, utilisez toujours des bloqueurs de fenêtres publicitaires et publicitaires et évitez de visiter des sites qui redirigent ou ouvrent des fenêtres contextuelles.

Arslaan Shaikh
la source
0

Toutes les réponses ici sont excellentes, mais à mon humble avis, il vous suffit d'exécuter un logiciel anti-malware fiable comme Malwarebytes .

user213002
la source
Le produit d'octets malveillants est solide et utile. + beaucoup de votes dans mon livre
bmike