Un sito Web può scaricare documenti, immagini o altre informazioni sul mio iMac senza il mio consenso o consapevolezza?

La parte del sistema operativo è per lo più irrilevante qui. Una pagina web è composta da:

• una parte generale contenente testo e struttura globale: il file HTML stesso
• vari file ausiliari: presentazione (css), immagini o altri file multimediali e script

Il browser da solo scarica la pagina HTML principale e tutti i suoi componenti dichiarati e quindi esegue gli script. Le cose possono diventare piuttosto complesse in questo momento, perché gli script possono fare molte cose:

• modifica (parzialmente) la configurazione del browser
• scarica altri file o componenti
• posiziona il browser su un'altra pagina

Normalmente, il browser non può da solo eseguire qualcosa direttamente a livello di sistema operativo, ma tutto è mantenuto a livello di browser in una sorta di sandbox.

Inoltre, alcuni contenuti particolari non vengono direttamente eseguiti dal browser ma richiedono un plug-in . I video oi giochi Flash sono tipici di questo

Quindi ci sono diversi tipi di minacce:

• una vulnerabilità nel browser che consente l'esecuzione diretta del codice - può essere mitigata mantenendo il browser e il sistema operativo aggiornati con tutte le patch di sicurezza
• una vulnerabilità in un plug-in. I plugin Flash hanno spesso una scarsa reputazione, ma ci sono molti plugin in giro
• un'azione dell'utente apparentemente innocua che eseguirà un malware o creerà una violazione della sicurezza installando un plugin vulnerabile. Questo è generalmente il modo più semplice ed efficace:
  • fai clic qui per installare quell'iper cool background sul tuo computer
  • il tuo attuale lettore video non sarà in grado di supportare gli effetti speciali di questo film. Dovresti aggiornarlo da qui
  • puoi ottenere [scegli la tua funzione preferita qui] da qui

Hai ragione in una parte. Apple OS è meno utilizzato di Windows su desktop / laptop o Android su smartphone e gli ambienti di sviluppo Apple sono molto più costosi dei kit di sviluppo Windows o Android (è possibile ottenere questi ultimi gratuitamente). Questo è il motivo per cui è possibile trovare più malware destinati ai desktop / laptop Windows rispetto ai sistemi Apple, Linux o BSD, a causa del rapporto costo / guadagno dello sviluppatore del malware. Ma non scommetterei una moneta che il sistema Apple sia così robusto da non contenere vulnerabilità. Perché ogni addon può venire con le sue stesse vulnerabilità e non penso che nessuna app per iOS sia stata completamente rivista da un punto di vista della sicurezza prima di essere aggiunta all'App Store.

Come è firmato dal suo sviluppatore, un'app non dovrebbe contenere un carico utile malevolo, ma può semplicemente contenere una vulnerabilità che potrebbe essere successivamente sfruttata da un sito malevolo ... Leggermente più complesso, ma ancora possibile.

In certi casi, sì, ciò che viene solitamente chiamato è un "drive per download": exploit JavaScript, exploit Java (o persino l'approvazione del download) e altri exploit possono effettivamente infettare il tuo computer, se ritieni un sito Web è rischioso è possibile scaricare l'estensione NoScript o disabilitare completamente plug-in attivi come Java o JavaScript.

Ma sappi che attacchi in cui un sito Web dannoso può scaricare malware sul tuo computer senza l'input [scaricando un file. l'approvazione di un prompt, ecc. , sono molto rari e richiedono un exploit zero day che è molto costoso. Questo è il motivo per cui ti viene spesso chiesto di mantenere aggiornato il tuo software, perché qualsiasi exploit trovato in una determinata versione può essere risolto solo in una versione successiva, non sta andando da nessuna parte.

Il punto di @leethax è tecnicamente quasi OK tranne il fatto che sono non molto rari

Gli exploit di tali infezioni sono guidati da ciò che è chiamato Exploit Packs // Exploit Kits che sono fondamentalmente toolkit che aiutano a sfruttare le vulnerabilità del lato client (questo va dal browser a java passando per flash o qualsiasi altra cosa sul lato client)

I target di exploit comuni sono stati vulnerabilità in Adobe Reader, Java Runtime Environment e Adobe Flash Player.

Caratteristiche dei kit di exploit

A key characteristic of an exploit kit is the ease with which it can be used even by attackers who are not IT or security experts. The attacker doesn’t need to know how to create exploits to benefit from infecting systems. Further, an exploit pack typically provides a user-friendly web interface that helps the attacker track the infection campaign.

Some exploit kits offer capabilities for delivering payload that remotely controls the exploited system, allowing the attacker to create an Internet crimeware platform for further malicious activities.

Puoi controllare questo , questo e questo per maggiori informazioni

Innanzitutto, nessun sito Web può scaricare contenuti su qualsiasi computer. Dal punto di vista del sito Web, il contenuto viene caricato su di te, non scaricato. Se un file viene trasferito da un sito Web a un altro, o lo stai scaricando o il sito Web lo sta caricando.

In secondo luogo, qualsiasi sito Web può consentire al computer di scaricare contenuti arbitrari. Il tuo sistema operativo è irrilevante, perché è la funzionalità necessaria e desiderabile. Questo è ciò che un sito è , in pratica. Se voglio inserire un'immagine sul tuo computer, la includo semplicemente nella pagina web che ti sto servendo e il tuo computer la scaricherà in modo che possa visualizzarla. Ma non c'è motivo di preoccuparsene. È che esegue un file arbitrario che è un rischio per la sicurezza, non solo per scaricarlo.

Sì, se e solo se esiste una vulnerabilità sfruttabile nel browser o nel sistema operativo, che spesso esiste. Per esempio vedi link , tutti quelli che dicono "esegui codice arbitrario ".

Risponderò a questa domanda da una prospettiva piuttosto teorica.

"I've heard that websites that download malicious data onto the user's computer without their consent do exist, but is this possible on an iMac[...]?"

Sì. Come altri hanno sottolineato, questo è indipendente dal sistema operativo.

Una pagina web contiene o si riferisce a - e quindi fa caricare il browser - dati in vari formati. Come ha spiegato Serge, la prima cosa caricata è un semplice HTML. Potrebbe avere estensioni moderne come i fogli di stile. L'HTML può incorporare o fare riferimento a supporti di vario tipo come immagini, file audio, video, script o animazioni flash che possono essere scaricati e aperti (cioè decodificati e quindi riprodotti o visualizzati) dal browser senza alcuna interazione dell'utente oltre all'apertura della pagina originale .

Il problema è che in linea di principio qualsiasi decodificatore per un formato di dati, incluso HTML semplice, può avere bug che possono essere sfruttati. (1) Questo include dati che sono normalmente totalmente "passivi" come immagini (per un esempio con immagini JPEG vedi questa sicurezza Microsoft bollettino dal 2004 ). Un esempio banale di 20 anni fa era un file GIF (formalmente corretto) che si espandeva in un'enorme bitmap. Un tentativo di visualizzarlo in un browser del visualizzatore ha semplicemente fatto crashare il computer, il che è un attacco di tipo denial of service. Per un exploit, i dati presentati nella pagina sarebbero creati appositamente per produrre un comportamento scorretto del decodificatore specifico che alla fine consente all'autore dell'attacco di inserire codice eseguibile nella memoria del computer che verrà poi eseguito. Il codice originale può essere piccolo, ad esempio un salto a una routine del sistema operativo che inizia una shell.

L'ovvia strategia di mitigazione consiste nel disabilitare quanti più formati di dati possibile nel browser. Nessun video, nessun suono, nessuna immagine, nessuno script.

Può valere la pena ripetere il mantra del blogger tedesco e esperto di sicurezza, Felix von Leitner. È irremovibile che gli scanner di virus offrono solo protezione falsa (li chiama olio di serpente). Una ragione è che non sono mai perfetti e quindi necessitano comunque di un utente responsabile. La seconda ragione, rilevante qui, è che lo stesso virus scanner è un'enorme superficie di attacco! Pensaci. I moderni scanner aprono e analizzano una miriade di formati di file - lo stesso processo che abbiamo stabilito come il target di attacco principale. Felix è stato recentemente collegato a un progetto di Tavis Ormandy. Ha scritto un framework per caricare ed eseguire DLL Windows sotto Linux. La sua motivazione, come scrive nel README, è stato quello di testare il motore principale di sicurezza di MS:

MsMpEng is the Malware Protection service that is enabled by default on Windows 8, 8.1, 10, Windows Server 2016, and so on. Additionally, Microsoft Security Essentials, System Centre Endpoint Protection and various other Microsoft security products share the same core engine.

The core component of MsMpEng responsible for scanning and analysis is called mpengine. Mpengine is a vast and complex attack surface, comprising of handlers for dozens of esoteric archive formats, executable packers, full system emulators for various architectures and interpreters for various languages. All of this code is accessible to remote attackers.

Il motivo per cui tieni presente che anche se il tuo browser gestisce tutto bene, il tuo programma antivirus può, ironicamente, tradirti, perché apre tutti i file per te.