Menü

macOS Catalina: SIP-Deaktivierung macht neuen System-Schreibschutz angreifbar

Wird die System Integrity Protection abgeschaltet, darf man sich zum Schutz nicht auf das in macOS 10.15 abgetrennte Systemvolume verlassen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 82 Beiträge

System und Nutzerdaten trennt macOS 10.15 automatisch in zwei Volumes auf.

(Bild: Apple)

Von

Um das Betriebssystem besser vor Manipulation durch Malware zu schützen, lagert Apple es mit macOS 10.15 Catalina auf ein eigenes, schreibgeschütztes Volume aus – abgetrennt von Nutzerdaten und Programmen. Das soll zudem die Stabilität erhöhen und die Basis für zukünftige Sicherheitsverbesserungen legen, wie Apple bei der Einführung des neuen Betriebssystems betonte.

Schalten Nutzer jedoch den bereits seit Version 10.11 in macOS integrierten Systemintegritätsschutzes (System Integrity Protection – SIP) ab, wird auch das schreibgeschützte Systemvolume angreifbar: Sobald SIP deaktiviert ist, kann man sich durch den Befehl sudo mount -uw / Schreibrechte zum Zugriff auf Systemdateien einräumen, wie Mac & i bemerkte – das funktioniert im laufenden Betrieb.

Problematisch ist dies, weil bestimmte System-Tools wie etwa TotalFinder in macOS Catalina nur noch funktionieren, wenn man SIP permanent abschaltet. In älteren Versionen des Betriebssystem war es nur erforderlich, den Systemintegritätsschutz zur Installation solcher Tools temporär auszuschalten, er konnte anschließend aber wieder aktiviert werden.

Tools wie der Catalina-Patcher für ältere Macs setzen das Abschalten von SIP voraus.

Auch Hackintoshs laufen nur ohne den Integritätsschutz (siehe auch Hackintosh selbst bauen – statt teurem Mac). Das Installieren von Catalina auf älteren, nicht mehr offiziell unterstützten Macs mit dem beliebten Patcher des Entwicklers dosdude1 setzt ebenfalls eine dauerhafte Deaktivierung von SIP voraus. Sollte Malware es in diesen Fällen schaffen, das Admin-Kennwort des Nutzers zu erschleichen, kann sie auch das System manipulieren.

Um den Status des Systemintegritätsschutzes zu prüfen, gibt man den Befehl csrutil status im Terminal ein. Erscheint nach Eingabe die Meldung "System Integrity Protection status: enabled", ist die Schutzfunktion aktiv.

Erfahrene Nutzer können den Weg über SIP-Abschaltung und sudo mount -uw / natürlich dazu nutzen, die eigentlich abgeschotteten Systemdateien in macOS 10.15 bequemer zu verändern, weil es im laufenden Betrieb funktioniert und man sich so den Umweg über den Wiederherstellungsmodus oder – auf älteren Macs ohne T2-Chip – den Single-User-Mode spart.

Günstigste Angebote

Alle Preise inkl. MwSt. und ggf. zuzüglich Versandkosten. Details zu den Angeboten auf der jeweiligen Webseite.

Apple Mac mini, Core i3-8100B,   8GB RAM,  128GB SSD, Gb LAN [2018] (MRTR2D/A)

Mac mini

Apple MacBook Air Space Gray, Core i5-8210Y,  8GB RAM,  128GB SSD [2019 / Z0X1] (MVFH2D/A)

MacBook Air

Apple MacBook Pro 13.3\

MacBook Pro 13

Apple MacBook Pro 16\

MacBook Pro 16

Apple Mac Pro, Xeon W-3223,   32GB RAM,  256GB SSD, Radeon Pro 580X [Late 2019 / Z0W3]

Mac Pro

Weitere Angebote für Apple Mac mini, Core i3-8100B, 8GB RAM, 128GB SSD, Gb LAN [2018] (MRTR2D/A) im Heise‑Preisvergleich

(lbe)