Simpler Exploit umgeht Malware-Schutz von Mac OS X

Es handelt sich um einen Designfehler. Gatekeeper prüft keine bereits von Apple signierten Binärdateien. Sie lassen sich somit benutzen, um nicht signierte Malware an Gatekeeper vorbei zu schleusen.

Ein Sicherheitsforscher hat eine einfache Methode entwickelt, um die in Mac OS X integrierte Sicherheitssoftware Gatekeeper zu umgehen, wie Ars Technica berichtet. Er kombiniert eine von Apple signierte Binärdatei mit einer oder mehreren Schaddateien, damit letztere eine Überprüfung durch Gatekeeper überstehen. Die signierte Datei wiederum führt danach die im selben Ordner befindlichen Schadprogramme aus, um weitere Malware wie Keylogger zu installieren.

Malware (Bild: Shutterstock/Blue Island)Patrick Wardle, Forschungsleiter der Sicherheitsfirma Synack, macht dafür einen Designfehler in Gatekeeper verantwortlich. Die Hauptfunktion der Software sei es, zu prüfen, ob das digitale Zertifikat einer heruntergeladenen App von einem von Apple anerkannten Entwickler stammt oder der Download selbst aus dem offiziellen App Store. Gatekeeper prüfe aber nicht, ob sich eine als vertrauenswürdig eingestufte App unerwartet oder gefährlich verhalte.

„Wenn die Anwendung gültig ist, dann sagt Gatekeeper ‚Ok, das kann ausgeführt werden‘, und dann beendet Gatekeeper seine Prüfung“, sagte Wardle im Gespräch mit Ars Technica. Gatekeeper überwache eine Anwendung nicht und untersuche auch keine anderen Inhalte im selben Ordner, die die Anwendung ausführe.

HIGHLIGHT

OS X 10.11 El Capitan steht als kostenloses Update zum Download bereit

Die neue Version unterstützt alle ab 2009 eingeführten Macs und einige frühere Modelle. Wesentliche Neuerungen sind das verbesserte Mission Control, eine leichter lesbare Systemschrift, Split View, die vielseitigere Spotlight-Suche und die Grafiktechnologie Metal. Einige Softwarehersteller müssen noch für die Kompatibilität ihrer Anwendungen zu El Capitan sorgen.

Für seinen Exploit hat Wardle eine bestimmte von Apple signierte Binärdatei genommen, die bei ihrer Installation eine weitere Binärdatei ausführt. Letztere tauschte er gegen eine manipulierte Binärdatei aus, die er in ein Apple Disk Image packte. Als Beispiel nannte er einen Installer einer App wie Photoshop, der mit speziell präparierten Plug-ins gebündelt wurde, die die App wiederum automatisch öffnet. Da Gatekeeper nur den ersten Installer prüfe, erhalte eine Nutzer keine Warnung vor den gefährlichen Plug-ins, so Wardle weiter. Welche Binärdatei er für seinen Exploit nutzte, teilte Wardle auf Wunsch von Apple nicht mit.

Der Forscher informierte Apple dem Bericht zufolge schon vor mehr als 60 Tagen über die Sicherheitslücke in Gatekeeper. Das Unternehmen arbeite an einem Fix. „Wenn ich das finden kann, dann muss man annehmen, dass auch Hackergruppen oder Nationalstaaten ähnliche Schwachstellen gefunden haben“, ergänzte Wardle. Er ist sich sicher, „dass es da draußen andere von Apple signierte Apps gibt“, die sich benutzen lassen, um Gatekeeper zu umgehen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

5 Kommentare zu Simpler Exploit umgeht Malware-Schutz von Mac OS X

Kommentar hinzufügen
  • Am 1. Oktober 2015 um 13:25 von Judas Ischias

    Tja, so einfach ist das also, bei dem „sichersten“ System unterzukommen.
    Aber es finden sich ganz bestimmt die üblichen Schreihälse, die auch diese Geschichte verharmlosen werden.

  • Am 3. Oktober 2015 um 1:06 von C

    „Es gibt nichts zu sehen hier, gehen Sie weiter, immer weiter“

    Das System ist sicher – oder „sicherer“ wurde immer von den Apfel-Fans behauptet.
    Die Meldungs-Lage ist einer andere.
    Und die Tatsache, dass nur eine Lücke ausreicht um zu kompromittieren wird sowieso ignoriert. Glauben ersetzt Fakten. Wie im Mittelalter.

    Sollen Sie doch mit Ihren Lücken und Fehlern leben. Halt: gefühlte Sicherheit.
    Manche werden erst durch Schaden klug. Manche nie.
    Und – das trifft auf alle OS-Nutzer zu, egal welche Plattform eingesetzt wird.

    • Am 3. Oktober 2015 um 15:39 von PeerH

      Schon lustig: das System ist zweifellos erheblich sicherer, aber das kannst, oder willst, Du aus privaten Gründen einfach nicht verstehen. Und daher führst Du hier seit Jahren Deinen ‚Mittelalter‘ Kreuzzug. :-)

      Oder hat weiter oben ein Apple Fan geschrieben, dass Apple ’sicher‘ sei? Warum dann Deine Antwort? Judas Ischias hat doch nur den selben Senf wie sonst auch von sich gegeben, aber der war, wie immer, eher wischiwaschi contra Apple.

      Also: welche inntere Stimme trieb Dich zu diesem Kommentar? ;-)

  • Am 3. Oktober 2015 um 15:35 von PeerH

    @JI: ja Schatz, wir wissen, dass es Dich gibt. :-)

    • Am 5. Oktober 2015 um 1:14 von Judas Ischias

      Also ich glaube schon, dass Du wenigstens den Kindergarten verlassen hast, aber bis jetzt nur wenige Schulklassen. ;)
      Jedenfalls ist Dein Benehmen nicht nur unverschämt, sondern einfach nur kindisch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *