Forscher haben Apples Sicherheits-Tools für Mac OS X ausgehebelt

Sicherheit
IT-Security (Bild: Shutterstock/Mathias Rosenthal)

Ihnen zufolge lässt sich das Sicherheits-Tool Gatekeeper durch nachträglichen Download von Schadcode überlisten. Bei XProtect reicht es aus, den Hash-Wert bekannter Malware zu verändern, damit sie nicht mehr erkannt wird. Sicherheitsforscher Patrick Wardle hat zudem mehrere Kernel-Lücken aufgedeckt.

Patrick Wardle, Director of Research bei Synack, hat auf der RSA-Konferenz in San Francisco gezeigt (PDF), wie sich die integrierten Sicherheits-Tools in OS X aushebeln lassen. Bei ihnen handelt es sich um Gatekeeper und XProtect. Letzteres ist seit OS X 10.6 enthalten und soll signaturbasierend gegen Malware schützen. Gatekeeper hatte Apple 2012 mit OS X 10.8 eingeführt. Das Tool soll verhindern, dass Nutzer “unwissentlich bösartige Software herunterladen und installieren”.

Apples Virenscanner XProtect lässt sich durch einfaches Rekompilieren oder Umbennnen einer Malware austricksen (Bild: Patrick Wardle/Synack).
XProtect lässt sich durch einfaches Rekompilieren oder Umbennnen einer Malware austricksen (Bild: Patrick Wardle/Synack).

“Für einen Angreifer ist das Umgehen der Sicherheits-Tools eines Macs etwas alltägliches”, sagte Wardle einem Bericht von ThreatPost zufolge. Laut Wardle prüft Gatekeeper Apps nicht kontinuierlich. “Wenn ich also eine von Apple genehmigte App nehme und sie dazu bringe, externe Inhalte zu laden, wenn sie vom Nutzer ausgeführt wird, dann umgeht sie Gatekeeper”, so Wardle.

XProtect lasse sich durch ein erneutes Kompilieren einer Malware, womit sich deren Hash-Wert ändere, oder einfach Umbenennen austricksen. Die Sandbox-Funktion von XProtect könne zudem durch mehrere bekannte Kernel-Schwachstellen umgangen werden. Auch am Markt verfügbare Antiviren-Lösungen für Mac OS wehren Wardle zufolge Schadsoftware nicht effektiv ab. Er begründet das damit, dass eine von ihm entwickelte Demo-Malware, die kontinuerlich Daten an einen bestimmten Server sendet, von keinem der mehr als zehn getesteten Programme erkannt wurde.

Mac-Nutzern empfielt der Sicherheitsspezialist die Verwendung seiner kostenlosen Tools KnockKnock und BlockBlock. Ersteres sendet zur Überprüfung die Hashwerte automatisch gestarteter Programme an VirusTotal. Block Block überwacht im Hintergrund die von bekannter Malware genutzten Schwachstellen im System und alarmiert Nutzer, sobald diese von einer Software genutzt werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen