Menü

macOS: Sicherheitsmechanismus Gatekeeper soll umgehbar sein

Ein Security-Experte meint, dass Apples Malware-Abwehrtechnik mit einem Trick ausgehebelt werden kann – auch in der jüngsten Mojave-Version.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 35 Beiträge

So warnt Gatekeeper – wenn alles funktioniert.

(Bild: Apple)

Von

Ein Sicherheitsforscher hat eine neue Angriffsmöglichkeit in macOS entdeckt, die Datenschädlinge ausnutzen könnten, um sich heimlich zu starten. Filippo Cavallarin vom italienischen Sicherheitsunternehmen Segment beschreibt in seinem Blog einen Gatekeeper-Bypass, der bis in die jüngste Mojave-Version 10.14.5 ausnutzbar sein soll. Der seit macOS 10.5 verfügbare Malware-Schutz soll eigentlich dafür sorgen, dass Apps, die über kein Zertifikat von Apple verfügen, nicht gestartet werden können.

Die Schutzfunktion samt Zertifikate-Überprüfung könne aber "einfach" umgangen werden, so Cavallarin. Er habe das Problem bereits vor drei Monaten an Apple gemeldet, seit Mitte Mai aber nichts mehr von dem Unternehmen gehört: "Apple started dropping my emails." Da er selbst eine 90-Tage-Disclosure-Politik habe, die Apple bekannt sei, veröffentliche er den Bug nun.

Gatekeeper überprüft Programme, die aus dem Netz heruntergeladen wurden, automatisch und lässt einen Start nur zu, wenn diese ein bestimmtes Code-Signing aufweisen. Cavallarins Trick nutzt nun die Tatsache aus, dass Gatekeeper sowohl extern gemountete Medien als auch Netzwerk-Laufwerke für sicher hält und Apps auf diesen daher die Ausführung erlaubt.

Eine erfolgreiche Attacke ist aber nicht ohne Weiteres möglich: Bei dem Angriff muss ein Opfer dazu gebracht werden, eine ZIP-Datei herunterzuladen und zu öffnen. Diese enthält wiederum einen symbolischen Link (Symlink) auf ein externes NFS-Verzeichnis, das der Angreifer kontrolliert. Wird dieses im Finder ausgewählt, erscheint die eigentliche Malware-App, die Cavallarin mit passendem Icon als PDF-Verzeichnis tarnt – es reicht, dieses einfach anzuklicken, um eine externe Shell zu öffnen.

Cavallarin kritisiert, dass der in macOS enthaltene ZIP-Entpacker keinerlei Überprüfung auf eventuell vorhandene Symlinks vornimmt – diese würden einfach angelegt. Erkennbar sind diese am kleinen Pfeil – Nutzer sollten sie also keinesfalls anklicken. "Das Opfer ist [sonst] in einem Bereich, der vom Angreifer kontrolliert, aber von Gatekeeper vertraut wird." Entsprechend könnten ausführbare Dateien beliebig ohne Warnung laufen. "Die Art, wie der [macOS-Dateimanager] Finder gestaltet ist" mache die Technik sehr effektiv und schwer zu erkennen.

Apple plant, Gatekeeper künftig auszubauen – so wird eine Sicherheitsüberprüfung durch Apple zur Pflicht, bevor signiert wird. Cavallarins Bug ist nicht das erste Problem, das in Gatekeeper gefunden wurde.

Die Lücke in Aktion (Video: Filippo Cavallarin).

(bsc)