Apple-Patch lässt Gatekeeper-Lücke offen

Auch im zweiten Anlauf beseitigt der Hersteller die Mitte letzten Jahres entdeckte Schwachstelle nicht wirksam. Der Malwareschutz von OS X ist daher auch weiterhin leicht zu umgehen, berichtet der Entdecker der Lücke. Laut Apple ist eine umfassende Lösung in Arbeit.

Apple ist es auch im zweiten Anlauf nicht gelungen, eine Schwachstelle in Gatekeeper zu beseitigen. Der Malwareschutz von Mac OS X ist auch weiterhin leicht zu umgehen, wie der Sicherheitsforscher Patrick Wardle berichtet, der auch der ursprüngliche Entdecker der Lücke ist.

(Bild: Maksim Kabakou/Shutterstock)Die seit OS X 10.8 Mountain Lion integrierte Sicherheitsfunktion soll wie ein Torwächter fungieren und standardmäßig nur Anwendungen aus dem Mac App Store und von zertifizierten Entwicklern zulassen. Patrick Wardle, Forschungsleiter der Sicherheitsfirma Synack, entdeckte jedoch schon im Juni letzten Jahres einen Designfehler – Gatekeeper prüfte nicht, ob sich eine als vertrauenswürdig eingestufte App unerwartet oder gefährlich verhält. Der Forscher konnte daher den Malwareschutz mit einem simplen Exploit umgehen, indem er eine von Apple signierte Binärdatei mit einer oder mehreren Schaddateien kombinierte, damit letztere eine Überprüfung durch Gatekeeper überstehen. Die signierte Datei wiederum führte danach die im selben Ordner befindlichen Schadprogramme aus, um weitere Malware wie Keylogger zu installieren.

Der Sicherheitsforscher meldete die Schwachstelle vertraulich an den Hersteller. Apple versuchte sie im Oktober mit einem ersten Patch zu beheben, setzte dafür aber nur die von Wardle mit seinem Proof-on-Concept-Code bereitgestellte Binärdatei auf eine Schwarze Liste. Threatpost erfuhr danach von Wardle, dass er nur rund 30 Sekunden benötigte, um den ursprünglichen Patch mit anderen Binärdateien zu umgehen. Ähnlich unzureichend ist demnach auch der jetzt nachgereichte Patch mit derselben Herangehensweise, nur dass die Implementierung diesmal über die in OS X integrierte Malware-Erkennung XProtect erfolgte.

„Ich glaube, dass viele Anwendungen missbraucht werden können, um diesen Fehler auszunutzen, daher ist Blacklisting meiner Meinung nach eine wirklich schlechte Idee“, erklärt Wardle dazu. Der Patch gebe dem Nutzer zudem ein trügerisches Gefühl der Sicherheit. Ein bösartiger OS-X-Hacker komme andererseits in Versuchung, sich den Patch naher anzusehen und durch Reverse Engineering den ursprünglichen Fehler zu ermitteln. Verpfuschte oder schwache Patches kämen daher „geschenkten Zero-Days“ gleich. Apple sei besser beraten, sich zurückzuhalten und erst mit einer vollständigen Fehlerbehebung zu reagieren.

Patrick Wardle wird am Sonntag auf dem ShmooCon in Washington über seine Gatekeeper-Erkenntnisse sprechen. Die Mac-Nutzer hält er derzeit für weiterhin gefährdet. Das gelte insbesondere dann, wenn ein Angreifer bereits eine Man-in-the-Middle-Position in einem Netzwerk hat oder wenn App-Downloads von einer nicht vertrauenswürdigen Site bezogen werden – viele Organisationen verfügten über Entwicklerzertifikate von Apple, um Enterprise-Anwendungen für OS X und iOS erstellen zu können und sie außerhalb des App Store zu verteilen. Über unsichere HTTP-Verbindungen heruntergeladene Apps seien besonders gefährdet durch mögliche Injection-Angriffe, wenn ein Hacker bereits in ein Netzwerk eindringen konnte.

Wardle erfuhr von Apple, der jüngste Bugfix sei ein „sehr gezielter Patch“ und eine umfassende Lösung in Arbeit. „Sie sind besorgt wegen möglichen Legacy-Komplikationen, sie wollen keine vorhandenen Sachen brechen“, zitiert ihn Threatpost. „Ich spreche darüber, weil ich buchstäblich nur fünf Minuten für einen Patch-Reverse und den Einsatz einer neuen Binärdatei brauchte. Ich wäre nicht überrascht, wenn Hacker und potentielle Angreifer das ganz ähnlich angehen würden.“

HIGHLIGHT

BQ Aquaris X5 Cyanogen Edition im Test

Der spanische Hersteller BQ verwendet für sein 5-Zoll-Smartphone Aquaris X5 Cyanogen Edition statt einer Standard-Android-Variante das auf der Custom Rom CyangoenMod basierende Cyanogen OS 12.1. Dabei handelt es sich um eine angepasste Version von Android 5.1 Lollipop. Zudem ist das LTE-Gerät mit einem leistungsstarken, aber nicht wechselbaren Akku ausgestattet und unterstützt den Betrieb von zwei Nano-SIM-Karten.

Themenseiten: Apple, Mac OS X, Malware, Secure-IT, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Apple-Patch lässt Gatekeeper-Lücke offen

Kommentar hinzufügen
  • Am 19. Januar 2016 um 18:17 von SrenONilsson

    Ich fasse es nicht. Da arbeiten doch wirklich nur Stümper als Entwickler bei Apple. 3 Monate brauchen die bis zum ersten Update. Weitere 3,5 Monate brauchen sie für das zweite Update. 30 Sekunden brauchen die Sicherheitsforscher um das 2. Update wieder zu knacken. Was haben die die ganze Zeit gemacht? Die Apple-User werden von Apple ohne Ende verarscht und lassen sich das auch noch gefallen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *