Menü

Apples Gatekeeper ausgetrickst: Sicherheitsforscher schmuggelt Malware auf Macs

Mit einer vergleichsweise simplen Methode hat ein Sicherheitsforscher OS X unsignierten Code untergeschoben und anschließend ausgeführt.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 66 Beiträge

(Bild: Apple)

Von

Der leitende Sicherheitsforscher der Unternehmensberater Synack Patrick Wardle hat den Sicherheitsmechanismus Gatekeeper von Apples Betriebssystem OS X umgangen und nicht signierten Code ausgeführt. Welche OS-X-Versionen davon betroffen sind, ist derzeit nicht bekannt. Einem Apple-Sprecher zufolge arbeitet das Unternehmen an einem Patch, schreibt das Technik-Portal Arstechnica .

Eigentlich begutachtet der Gatekeeper Programme vor der Installation und prüft, ob diese aus einer vertrauenswürdigen Quelle stammen. Ist das der Fall, sind diese entsprechend signiert und das System winkt die Installation durch. Doch Wardle zeigte auf, dass man diese Überprüfung vergleichsweise einfach umgehen kann.

Als Einfallstor setzte Wardle auf eine von Apple als vertrauenswürdig eingestufte Binär-Datei. In seinem Test packte er diese in ein Apple Disk Image, was er mit einer weiteren, nicht-signierten Anwendung auffüllte.

Beim Installieren habe Gatekeeper die signierte Binär-Datei als vertrauenswürdig eingestuft und im gleichen Zuge auch die nicht-signierte Anwendung durchgewinkt und ausgeführt. Das geschehe, weil Gatekeeper nur die erste Anwendung prüft und nicht das, was anschließend passiert.

Wardle zufolge ist es auch möglich, eine Anwendung wie etwa Photoshop mit Malware zu bündeln, um Gatekeeper zu umgehen. Mit diesen Methoden könnten Angreifer Mac-Nutzern Malware unterjubeln, die sich als legitime Software tarnt.

Wardle beschäftigt sich schon länger damit, wie Angreifer Macs mit Malware verseuchen können. Auf seine Kappe geht auch die Entdeckung der Lücke mit der Bezeichnung CVE-2015-3715, die ebenfalls ein Problem mit dem Check von signiertem Code innehat. Die Schwachstelle hat Apple in OS X 10.10.4 gefixt. Im April dieses Jahres bezeichnete Wardle Apples Schutzmechanismen zudem als nutzlos. (des)