OS X: Schutz durch Apples Gatekeeper weiterhin unzureichend

Holger Eilhard 1

Seit der Einführung von Gatekeeper in OS X im Jahr 2012 soll die Software gegen ungewollte Eindringlinge schützen. Nun fand ein Sicherheits-Experte erneut einen einfachen Weg, um den Schrankenwärter zu umgehen.

OS X: Schutz durch Apples Gatekeeper weiterhin unzureichend

Schon im September 2015 warnte Patrick Wardle, Direktor der Sicherheitsfirma Synack, vor einem Problem, welches es Angreifern ermöglichte Apples Sicherheitssoftware zu umgehen.

Hierzu reichte es, wenn der Angreifer die gewünschte Schadsoftware parallel mit einer vertrauenswürdigen, von Apple signierten Binärdatei in einem speziell präparierten Paket ausliefert. Wenn der Anwender die erste, von Apple vetraute Anwendung aus dem Paket ausführt, können daraufhin – ohne weiteren Schutz durch Gatekeeper – zusätzliche, ungewünschte Prozesse ihre Arbeit aufnehmen und so beispielsweise Passwörter des Anwenders mitlesen.

Wardle hatte Apple auf das Problem aufmerksam gemacht, woraufhin das Unternehmen einen Patch veröffentlicht hatte. Dieser Patch behebt, wie Wardle mit geringem Aufwand herausfinden konnte, aber nur die Symptome und nicht die eigentliche Ursache des Problems.

„Ich brauchte 5 Minuten, um es (den Patch) zu umgehen“, so Wardle gegenüber Ars Technica.

Statt das eigentliche Problem zu beseitigen, habe Apple lediglich die von Wardle genutzten und beschriebenen Dateien geblockt. Ein Angreifer muss nun lediglich andere, ebenfalls von Apple vertraute Binärdateien finden, um die Lücke weiterhin ausnutzen zu können.

Wardle wird seine Entdeckung am Wochenende in Washington D.C. im Rahmen der Sicherheitskonferenz ShmooCon präsentieren. Apple arbeitet derweil bereits an einer neuen Lösung für das Problem.

Wardle hat selbst eine Beispiellösung entwickelt, bei der nicht nur die ursprüngliche Anwendung, sondern auch jeder von dieser Anwendung gestartete Prozess vor der Ausführung inspiziert wird.

Bis Apple das Problem beseitigt hat, wird dazu geraten nur Apps aus dem Mac App Store oder aus vertrauenswürdigen Quellen über eine verschlüsselte Verbindung zu laden.

Zu den Kommentaren

Kommentare zu dieser News

Weitere Themen

* Werbung