Firewall-Umgehung in macOS 11: Malware kann Apples Ausschlussliste missbrauchen

Apple-Dienste bleiben für lokale Firewalls in macOS 11 unsichtbar. Auch Malware könne so nach Hause telefonieren, warnt ein Sicherheitsforscher.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 45 Beiträge
Von
  • Leo Becker

Apples Ausschlussliste könnte Schad-Software die Umgehung von lokalen Firewalls in macOS 11 ermöglichen: Es sei für Malware leicht möglich, mit Hilfe eines Apple-Dienstes eine versteckte Netzwerkverbindung aufzubauen, selbst wenn der Nutzer mit einer Firewall wie Little Snitch alle ausgehenden Verbindungen eigentlich blockiert, warnt der Sicherheitsforscher Patrick Wardle.

Mit einem kleinen selbstgeschriebenen Tool ist es Wardle gelungen, eine Datei vom Schreibtisch seines Macs ungehindert an einen entfernten Server zu übertragen, obwohl eine lokale Firewall sämtlichen ausgehenden Traffic blockierte.

Das Tool hängte sich dafür offenbar "huckepack" an einen der Apple-Dienste, die auf der in das Betriebssystem integrierten Ausschlussliste für Content Filter stehen und deren Netzwerkaktivitäten dadurch für Firewalls – die Apples neue, vorgeschriebenen Frameworks verwenden – nicht länger sichtbar sind. Eine derartige Umgehung der Firewall sei trivial gewesen, so Wardle. Er habe Apple schon vor der Veröffentlichung von macOS 11 Big Sur in einem Bug-Report davor gewarnt. Weitere Details nannte der Sicherheitsforscher bislang nicht, so bleibt etwa unklar, welchen Apple-Dienst das Tool für die ungehinderte Netzwerkverbindung verwendete.

Apple setzt seit macOS 10.15 Catalina über 50 seiner eigenen Apps und Dienste auf eine Ausschlussliste. Sie macht deren Netzwerkaktivitäten für Dritt-Apps unsichtbar, die etwa Apples Network Extensions NEFilterDataProvider und NEAppProxyProviders einsetzen.

Firewalls wie Little Snitch oder auch Wardles LuLu müssen in macOS 11 Big Sur die neuen Extensions nutzen, das gilt auch für Datenspar-Software wie TripMode, die so nicht mehr zuverlässig den möglicherweise erheblichen Datenverkehr von Apple-Diensten unterbinden kann. Die Weiterverwendung bisheriger Kernel-Erweiterungen, die ein tieferes Eingreifen in das System ermöglichten, ist den Apps nicht mehr erlaubt.

Little Snitch sucht derzeit nach einem Weg, um die Verbindungen von Diensten auf der Ausschlussliste doch noch sichtbar zu machen und hofft, dass Apple die Umsetzung doch noch überdenkt.

Lesen Sie auch

(lbe)