Recentemente ho aggiornato da OS X 10.10 (Yosemite) a OS X 10.11 (El Capitan) da un'unità avviabile che ha la barra Genius di uno degli store Apple della mia città e ho installato l'aggiornamento 10.11.1 dal mio rete wifi domestica. Il Macbook che uso attualmente ha circa un mese di vita. Pratico pratiche di navigazione sicure e ho installato Little Snitch.
Sono stato (forse troppo) paranoico di recente perché sulla mia vecchia macchina, ero definitivamente compromesso a causa del software rotto (lezione appresa), così ho cancellato il disco rigido e reinstallato il sistema operativo da un'unità avviabile ad un Apple approvato centro di riparazione, ma ho continuato a notare comportamenti che ritengo sospetti. Reinstallare il sistema operativo da un backup di base, cambiando tutte le password, quindi notando un comportamento strano. Solo un ciclo infinito di fare questo.
E anche su questo nuovo Macbook. Dopo un'altra cancellazione dell'HD e una reinstallazione da un backup di base effettuato presso lo store Apple per questo nuovo Macbook, ho notato comportamenti strani o sospetti. In questo caso, ho eseguito l'accesso a iCloud sul mio Macbook e sul mio iPhone, in cui ho rimosso tutte le voci del calendario aggiunte in precedenza e ho aggiunto nuovamente manualmente tutte le voci dopo il processo di modifica di tutte le mie password. Era di notte.
Finora, tutto bene. La mattina dopo, quando accendo il mio Macbook per la prima volta e controllo il mio calendario, è stata modificata una voce che sicuramente non ho modificato. Ho ristretto il tempo della modifica tra la notte in cui ho aggiunto di nuovo tutte le mie voci e quando ho acceso il mio MacBook per la prima volta il giorno successivo - l'ho fatto ripristinando l'ultimo backup del calendario (datato 'oggi XX: XXam ') disponibile quando si accede a iCloud tramite un browser (il backup ha la modifica che non ho apportato).
Ora, uso Little Snitch per monitorare l'attività di rete. Non noto nulla di insolito quando sto usando il mio Macbook (a parte forse un tentativo casuale di connessione a google.com sulla porta 80 quando tutte le mie connessioni Google sono tramite la porta 443?).
Ma dato che potenzialmente, chiunque / qualunque cosa avrebbe potuto modificare la mia voce del calendario lo ha fatto quando ero addormentato e il mio Macbook non era acceso, osservare Little Snitch per attività di rete insolite quando sto usando il mio Macbook sarebbe inutile , sì?
Non sono sicuro di cosa fare a questo punto. Ho cancellato e reinstallato molte volte e ho sempre notato qualcosa degno di sospetto.
Modifica
-
Non è un calendario condiviso e non ho intenzionalmente dato a nessuno i miei dettagli ID Apple.
-
Se questo compromesso non mi stava ancora spaventando un po ', lo "strano comportamento" probabilmente non sarebbe considerato strano. A volte penso di fare clic sulla scorciatoia da tastiera per una nuova scheda. Ma Chrome chiude la finestra aperta corrente, ma l'applicazione è ancora aperta. Quando faccio clic sull'icona dell'applicazione nel mio dock, la finestra con tutto quello che faccio scorrere si apre. In generale, si vedrà quel browser ridotto al minimo nel dock, ma non appare mai lì. Anche solo movimenti nervosi / rapidi su / giù in Chrome a velocità non osservate dalle normali scorciatoie su / giù della tastiera. Questo potrebbe essere solo un bug in Chrome stesso, ma non ne sono troppo sicuro. A volte ricevo avvisi di connessione per i siti Web. Sono sicuro al 100% che avrò reso permanente la prima volta che li ho ricevuti. Potrebbe essere un bug di sviluppo, ma dato che fare delle regole su ciò che permetti / neghi permanente è una parte molto importante di LS, immagino che gli sviluppatori farebbero passi avanti per ripararlo al più presto se fosse un bug.
-
Il backup automatico prima di quello con la modifica strana è irrilevante perché era un backup di quando avevo effettuato un ripristino precedente.
Supponiamo che questo backup di base sia stato eseguito su Apple Store (il SO reinstallato, quattro applicazioni di terze parti [Chrome, Little Snitch, Flux e l'app laptop Spotify] tutte scaricate direttamente dagli sviluppatori e un paio di podcast da il negozio iTunes) è in qualche modo compromesso (ho scaricato queste cose tramite il wifi non protetto del negozio). In qualche modo, c'è una backdoor o un RAT sul backup.
Ho solo una conoscenza di base di infosec, ma presumo con malware di questo tipo, è possibile che qualcuno acceda all'app Calendario collegata a iCloud sul mio laptop come se fosse fisicamente seduto davanti al mio Macbook. Poiché ho ridotto il tempo in cui la modifica è stata apportata quando ero addormentato e il mio Macbook era spento, penso che la persona che ha apportato la modifica sia potenzialmente in un fuso orario diverso.