Simpler Exploit umgeht Malware-Schutz von Mac OS X

Ein Sicherheitsforscher hat eine einfache Methode entwickelt, um die in Mac OS X integrierte Sicherheitssoftware Gatekeeper zu umgehen, wie Ars Technica berichtet. Er kombiniert eine von Apple signierte Binärdatei mit einer oder mehreren Schaddateien, damit letztere eine Überprüfung durch Gatekeeper überstehen. Die signierte Datei wiederum führt danach die im selben Ordner befindlichen Schadprogramme aus, um weitere Malware wie Keylogger zu installieren.

Patrick Wardle, Forschungsleiter der Sicherheitsfirma Synack, macht dafür einen Designfehler in Gatekeeper verantwortlich. Die Hauptfunktion der Software sei es, zu prüfen, ob das digitale Zertifikat einer heruntergeladenen App von einem von Apple anerkannten Entwickler stammt oder der Download selbst aus dem offiziellen App Store. Gatekeeper prüfe aber nicht, ob sich eine als vertrauenswürdig eingestufte App unerwartet oder gefährlich verhalte.

„Wenn die Anwendung gültig ist, dann sagt Gatekeeper ‚Ok, das kann ausgeführt werden‘, und dann beendet Gatekeeper seine Prüfung“, sagte Wardle im Gespräch mit Ars Technica. Gatekeeper überwache eine Anwendung nicht und untersuche auch keine anderen Inhalte im selben Ordner, die die Anwendung ausführe.

Für seinen Exploit hat Wardle eine bestimmte von Apple signierte Binärdatei genommen, die bei ihrer Installation eine weitere Binärdatei ausführt. Letztere tauschte er gegen eine manipulierte Binärdatei aus, die er in ein Apple Disk Image packte. Als Beispiel nannte er einen Installer einer App wie Photoshop, der mit speziell präparierten Plug-ins gebündelt wurde, die die App wiederum automatisch öffnet. Da Gatekeeper nur den ersten Installer prüfe, erhalte eine Nutzer keine Warnung vor den gefährlichen Plug-ins, so Wardle weiter. Welche Binärdatei er für seinen Exploit nutzte, teilte Wardle auf Wunsch von Apple nicht mit.

Der Forscher informierte Apple dem Bericht zufolge schon vor mehr als 60 Tagen über die Sicherheitslücke in Gatekeeper. Das Unternehmen arbeite an einem Fix. „Wenn ich das finden kann, dann muss man annehmen, dass auch Hackergruppen oder Nationalstaaten ähnliche Schwachstellen gefunden haben“, ergänzte Wardle. Er ist sich sicher, „dass es da draußen andere von Apple signierte Apps gibt“, die sich benutzen lassen, um Gatekeeper zu umgehen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de