Mac-Schadsoftware könnte sich seit 2007 vor Sicherheitstools verstecken

Florian Matthey

Sind auf unseren Macs seit mehr als zehn Jahren Malware-Apps versteckt, die gängige Sicherheitstools nicht auffinden können? Zumindest besteht diese Möglichkeit – und schuld sind sowohl die Sicherheitstool-Entwickler als auch Apple.

Mac-Schadsoftware könnte sich seit 2007 vor Sicherheitstools verstecken

Mac-Schadsoftware hätte sich seit elf Jahren vor Sicherheitstools „verstecken“ können

Seit 2007 (!) besteht die Möglichkeit, Malware-Apps in macOS so zu tarnen, dass viele Sicherheitstools – darunter auch namhafte Tools wie Facebook OSQuery, Google Santa oder die Firewall Little Snitch – sie nicht als solche erkennen. Aufgrund einer Signatur durch Apple selbst schätzen diese Tools die Apps sogar als maximal vertrauenswürdig ein.

Ars Technica hat herausgefunden, wie das möglich ist: Apps müssen einfach „FAT“- oder „Universal“-Programmpakete nutzen, die Apple über die Jahre für verschiedene Prozessorarchitekturen eingeführt hat – also zuletzt PowerPC- und Intel-Prozessoren. Seit vielen Jahren gibt es nur noch Macs mit Intel-Prozessoren, sodass nur noch diese in dem Paket enthaltene „Version“ der Software noch relevant ist. Die älteren Varianten dürfen aber weiterhin vorhanden sein.

Wenn nun eine im Paket enthaltene PowerPC-App über eine offizielle Signatur verfügt, erkennen die Sicherheitstools das ganze Paket als sicher an – obwohl die ebenfalls enthaltene App für Intel-Chips eigentlich über gar keine Signatur verfügt und daher Schadsoftware sein könnte.

Entwarnung: Keine Malware, die Lücke ausnutzt, bekannt

Wohlgemerkt hat Ars Technica keine Malware entdeckt, die diese Lücke tatsächlich ausnutzt – allerdings ist sie eben seit vielen Jahren vorhanden und könnte Hackern die Arbeit deutlich erleichtern. Es handelt sich aber auch nicht um eine Lücke im Betriebssystem, sondern in der Arbeitsweise der Sicherheitstools – sodass sich deren Entwickler in erster Linie an die eigene Nase fassen müssen.

Kennt ihr schon das neue Mac-Betriebssystem macOS Mojave? Wie hübsch es aussehen wird, zeigt unsere Bilderstrecke.

Bilderstrecke starten
15 Bilder
macOS Mojave: So schön sieht der Dark Mode aus.

Allerdings ist auch Apple nicht ganz unschuldig an diesem Versäumnis: Apple hatte die bereitgestellte Programmierschnittstelle, die die Tools verwenden, in den eigenen Dokumentationen missverständlich erklärt, sodass die Entwickler der Tools glaubten, alle Vorkehrungen für das Erkennen der Malware getroffen zu haben. Mittlerweile hat Apple die Dokumentation aktualisiert, sodass davon auszugehen ist, dass die Tool-Entwickler die Lücke bald schließen werden – nachdem sie elf Jahre lang unentdeckt blieb.

Quelle: Ars Technica via 9to5Mac

Weitere Themen

* gesponsorter Link