Warum Malware für Macs bald massenhaft zuschlagen wird

Leute, die für sich in Anspruch nehmen, nüchtern und rational zu denken und zu handeln, versuchen wieder einmal wegzudiskutieren, was sie nicht hören wollen. Als ich letze Woche auf ZDNet.com den Artikel „Coming soon to a Mac near you: serious malware“ veröffentlicht hatte, habe ich von Mac-Fans nichts anderes erwartet, als dass sie mir erklären, wie falsch ich liege. Sie haben mich nicht enttäuscht.

In diesem Blogbeitrag will ich detailliert auf die Argumente antworten, die ich als Anwtort auf meinen Artikel bekommen habe. Es sind dieselben, die wieder und wieder gebracht werden, wenn das Thema Mac und Malware zur Sprache kommt.

Erstens steht die Behauptung im Raum, dass Mac OS X von seiner Architektur her anderen Betriebssystem überlegen sei. Sein besonderen Design mache es immun gegen Infizierung. Zweitens gibt es die durchaus berechtigte Frage, ob Macs und Windows-PC gleichermaßen anfällig für Angriffe sind. Wie kommt es, dass es tausende Windows-Viren und nur eine handvoll Mac-Malware gibt?

Das sind berechtigte Argumente und ich möchte voll und ganz darauf eingehen, und zwar mit genug Fakten, damit sich jeder sein eigenes Bild machen kann. Es geht hier nicht um die Mac- oder Windows-Religion, sondern um Design und Wirtschaftlichkeit.

Ist die Mac-OS-Architektur Windows überlegen?

Das behaupten zumindest zahlreiche Kommentatoren in ihrer Antwort zu meinem Artikel. Hier ein Beispel – natürlich nicht ohne die übliche Hommage an Steve Jobs.

„Architektur und Methodologie bei Apple sind völlig anders. Deshalb hassen so viele Entwickler (und Hacker) Macs und iPhones. Sie haben nicht genug drauf, um damit etwas Sinnvolles zustande zu bringen. Ich will nicht behaupten, dass nicht alles möglich wäre, aber ich habe das Gefühl, dass mich das Problem von regelmäßig infizierten PCs nicht betrifft. Und vielen Dank an Steve Jobs für dieses Gefühl.“

Sorry, aber das stimmt einfach nicht. Unabhängige Experten bestätigen dies seit Jahren. Schon 2008 schrieb Rich Mogull, zuständig für Sicherheit beim Mac-affinen Blog tidbits.com:

„Es stimmt nicht, dass Mac OS X deutlich sicherer vor Viren als aktuelle Windows-Versionen ist (obwohl deutlich sicherer als Windows vor XP SP2). Die zahlreichen Lücken, die in den letzten Jahren gemeldet und gepatcht wurden, lassen sich genauso ausnutzen wie ihre Windows-Pendants. Allerdings sind sich die meisten Sicherheitsexperten darüber einig, dass die Entwicklung von Malware heutzutage aus finanziellen Motiven erfolgt, und man erzielt deutlich mehr Profit, wenn man eine dominante Plattform angreift. […] Ab einem gewissen Punkt (unter der Annahme, dass Apple weiterhin attraktive Produkte entwickeln wird) werden wir Mac-User stärker zum Ziel von Angriffen und müssen mit einem größeren Risiko leben.“

Wie ich in einer Reihe von aktuellen Artikeln bereits nachgewiesen habe, ist Social Engineering zur dominanten Methode geworden, die Malware-Autoren zur Verbreitung ihres „Gifts“ verwenden. Wenn man jemanden davon überzeugen kann, dass ein schädliches Programm nützlich oder notwendig ist, wird er alle Dialoge mit Warnungen ignorieren und sein Admin-Kennwort eingeben. Das gilt bei Windows seit Einführung der Benutzerkontensteuerung (User Account Control) mit Vista genauso wie für Mac OS X.

Aber, so das Argument der Mac-Jünger, Windows-Anwender werden Opfer von Drive-by-Downloads, was Mac-Nutzern natürlich nicht passieren kann. Sorry, aber auch das stimmt nicht. Wie jedes moderne Betriebssystem, enhält OS X Lücken, die relativ einfach ausgenutzt werden können. Warum sollte Apple sonst regelmäßig Updates herausbringen? Dazu nur ein Beispiel:

In Apples Security Bulletin für OS X 10.6.7 vom 22. April 2011, habe ich 23 verschiedene Fixes für Lücken gefunden, die „Arbitrary Code Execution“ in der aktuellen Version von OS X ermöglichen. Mindestens drei davon sind erst mit Snow Leopard neu hinzugekommen. In 10.5 existierten sie noch nicht.

Für alle, die mit der Terminologie nicht so genau vertraut sind: „Arbitrary Code Execution“ heißt, dass absolut keine Benutzerinteraktion erforderlich ist. Der Angreifer setzt einfach eine Website mit bösartigem Code auf oder baut ein gewöhnlich aussehendes Dokument, Bild beziehungsweise Video. Wer eine solche Website besucht, ein Dokument öffnet, ein Bild oder Video anschaut, gibt dem Angreifer volle Kontrolle über seinen Rechner. Dabei poppt kein Dialog hoch und nach Passwörtern wird auch nicht gefragt.

Wer mir jetzt nicht glaubt, macht einfach dasselbe wie ich. Ich habe das Apple-Dokument vom April genommen, bin es Zeile für Zeile durchgegangen und habe mir die wesentlichen Details herausgepickt.