Forscher: Apples Sicherheits-Tools für OS X lassen sich leicht umgehen

Gatekeeper lässt sich demnach durch das nachträgliche Herunterladen von Schadcode austricksen. XProtect wiederum erkennt bekannte Malware nicht mehr, sobald ihr Hash-Wert verändert wurde. Der Sicherheitsforscher Patrick Wardle verweist zudem auf mehrere Kernel-Lücken.

Der Sicherheitsforscher Patrick Wardle, Director of Research bei Synack, hat auf der RSA-Konferenz in San Francisco demonstriert (PDF), wie sich die von Apple in OS X integrierten Sicherheits-Tools aushebeln lassen, um Malware auszuführen. „Für einen Angreifer ist das Umgehen der Sicherheits-Tools eines Macs etwas alltägliches“, sagte Wardle einem Bericht von ThreatPost zufolge. „Wenn Macs absolut sicher wären, würde ich nicht diesen Vortrag halten.“

Bei den beiden Sicherheitsanwendungen handelt es sich um Apples Gatekeeper und XProtect. Letzteres ist der seit OS X 10.6. Snow Leopard enthaltene signaturenbasierte Malwareschutz. Er blockiert bestimmte Apps und Plug-ins, die als Schadsoftware bekannt sind.

Apples Virenscanner XProtect lässt sich durch einfaches Rekompilieren oder Umbennnen einer Malware austricksen (Bild: Patrick Wardle/Synack).Apples Virenscanner XProtect lässt sich durch einfaches Rekompilieren oder Umbennnen einer Malware austricksen (Bild: Patrick Wardle/Synack).

Gatekeeper wiederum hatte Apple 2012 mit OS X 10.8 Mountain Lion eingeführt. Das Tool fungiert wie ein „Torwächter“ und soll verhindern, dass Nutzer „unwissentlich bösartige Software herunterladen und installieren“. Laut Wardle prüft Gatekeeper eine App aber nicht kontinuierlich. „Wenn ich also eine von Apple genehmigte App nehme und sie dazu bringe, externe Inhalte zu laden, wenn sie vom Nutzer ausgeführt wird, dann umgeht sie Gatekeeper“, erklärte Wardle.

XProtect lasse sich durch ein erneutes Kompilieren einer Malware, wodurch sich deren Hash-Wert ändere, oder auch einfaches Umbenennen austricksen, so Wardle weiter. Die Sandbox-Funktion von XProtect sei zwar „effektiv“, sie könne aber durch mehrere bekannte Kernel-Schwachstellen umgangen werden. Auch gängige Antiviren-Lösungen für den Mac sind Wardle zufolge nicht in der Lage, Schadsoftware effektiv abzuwehren. Ein von ihm entwickelte Demo-Malware, die kontinuerlich Daten an einen bestimmten Server sendet, wurde von keinem der mehr als zehn getesteten Sicherheitslösungen erkannt. Mac-Nutzern empfielt der Sicherheitsspezialist die Verwendung seiner kostenlosen Tools KnockKnock und BlockBlock. Ersteres sendet zur Überprüfung die Hashwerte aller automatisch gestarteten Programme an VirusTotal. Der Hintergrunddienst Block Block überwacht die von bekannter Malware genutzten Stellen im System und alarmiert den Nutzer, sobald diese von einer Software genutzt werden.

Malware für Apples Desktop-Betriebssystem ist zwar sehr selten, Hacker nehmen aber immer wieder auch OS-X-Nutzer ins Visier. Ende vergangenen Jahres wurde beispielsweise eine WireLurker genannte Schadsoftware über einen chinesischen App Store verbreitet. Sie wurde benutzt, um iOS-Geräte zu infizieren, was laut Untersuchungen von Palo Alto Networks auch mit nicht-gejailbreakten iPhones möglich war. Da dies zuvor nur mit entsperrten Geräten möglich war, sprach das Unternehmen sogar von einer „neuen Ära von iOS-Malware„.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Apple, Mac OS X, Malware, Secure-IT, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

8 Kommentare zu Forscher: Apples Sicherheits-Tools für OS X lassen sich leicht umgehen

Kommentar hinzufügen
  • Am 27. April 2015 um 8:58 von Thorsten

    Das kommt davon, wenn man alles selbst bereitstellen möchte.
    Ich mein Virenscanner sind ein ewiger Kampf, Licht gegen Dunkelheit.
    Aber was ich nicht verstehe ist, warum Apple keine Kooperation mit Antiviren-Software Herstellern abschließt?
    Peer H. was sagst du dazu?

    • Am 27. April 2015 um 10:36 von PeerH

      Weil es in freier Wildbahn nur einige Hundert ‚Viren‘ und Malware für OS X gibt. Bei Windows sind es einige Millionen. Ob die für OS X erhältlichen Virenscanner sinnvoll sind, muss jeder Anwender für sich entscheiden. Für mich klingt das eher nach Marketing.

      Wenn man nicht mit Root Rechten unterwegs ist, und nicht bedenkenlos irgend welche ‚Links‘ anklickt, oder eben mit einem Notebook unterwegs nicht in ‚kostenlosen‘ WLANs surft, sind die Risiken sehr gering.

      Gilt ähnlich auch für Windows (nicht mit Admin Rechten arbeiten), aber da ist eben das Risiko durch die schiere Anzahl in Umlauf befindlicher Schädlinge größer.

      Kurz: Ohne Virenscanner mit Windows zu arbeiten, das wäre leichtsinnig. Bei OS X finde ich das (siehe oben, nicht als Root) vertretbar, aber schaden tut es sicher auch nicht. Auf meinem iMac habe ich keine Virenschutzsoftware.

  • Am 27. April 2015 um 18:43 von C

    Gefühlte Apfel-Sicherheit in Aktion…

    Und – damit nicht einer der Apfel-Jünger auf die Idee kommt, zitiere Ich aus dem Artikel:
    „… sie könne aber durch mehrere bekannte Kernel-Schwachstellen umgangen werden.“

    Apfel-Freunde, fühlt euch weiterhin geschützt und umsorgt. Ihr seid es nicht!

  • Am 28. April 2015 um 9:35 von Name

    Einen Virenscanner braucht man auch für den Mac. Nicht wegen der Sicherheit, sondern dem Online-Banking.

    Ist man Opfer eines Betrugsfalles zahlen die Banken nur wenn ein Virenscanner auf dem Computer installiert ist. Egal ob Mac, Linux oder Windows.

    • Am 28. April 2015 um 10:16 von @Name

      Interessant – hast Du eine Quelle, wo man das nachlesen kann? Wäre gut zu wissen.

  • Am 28. April 2015 um 13:23 von Punisher

    Das zeigt mal wieder, dass in der Realität sicherheitstechnisch, außer die Anzhal der sich im Umlauf befindlichen Viren, keine Vorteile gegenüber anderen Systemen vorhanden sind. Alles nur Tagträumerei. Da jetzt noch ein paar Starbucks Chiller den einen oder anderen Mac/MacBook gekauft haben, lohnt es sich immer mehr auch dieses System anzugreifen. Und wenn man seinen Virus nur umbenennen ( übrigens falsch geschrieben in der Box mit dem Bild) oder neu kompilieren muss, braucht man sich ja nicht mal nach neuen Lücken umsehen.
    So viel zu “ auf Macs braucht man kein Antivirensystem“. Scheinbar doch!

    Und was „Name“ schrieb ist seit langem bekannt. Die Bank muss nachweisen, dass der Benutzer seine Sorgfaltspflicht verletzt hat, sonst haftet die Bank! Diese Pflicht gilt als erfüllt, wenn ein Antivirenprogramm vorhanden ist!

    • Am 28. April 2015 um 16:06 von PeerH

      Hat jemand wieder seine Agro-Tage? Ich hab das nicht angezweifelt, ich die Frage ging um eine Quelle zum nachlesen. Wenn Du das schon seit langem kennst, kannst Du ja aushelfen? ;-)

      • Am 29. April 2015 um 10:03 von Punisher

        Also bevor ich sowas wie Onlinebanking angehe, informiere ich mich in der Regel wie/warum/weshalb es funktioniert oder auch nicht. Ich fühle mich zwar sicher, aber ich glaube nicht an das 100% sichere System, also will ich auf der sicheren Seite stehen, falls eines Tages mein Konto den Betrag -x vorweist. Du scheinst dich zu sicher zu fühlen, aber gut. Hier was zum lesen aus 2010:
        http://www.kanzlei-holik.de/fachartikel/82-die-haftung-der-bank-beim-phishing-missbrauch.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *