Sicherheit

Apple bekommt Gatekeeper-Lücke nicht in den Griff

encryption-schloss-code-sicherheit (Bild: Shutterstock / photobank.kiev.ua)
3 2 Keine Kommentare

Es handelt sich bereits um den zweiten Versuch. Die Mitte 2015 identifizierte Anfälligkeit konnte schon zuvor durch einen schlichten Exploit überlistet werden. Der wie ein Torwächter fungierende Malwareschutz von OS X ist nach wie vor leicht auszuhebeln, sagt der Entdecker der Lücke. Apple stellt nun eine umfassende Lösung in Aussicht.

Auch im zweiten Versuch hat es Apple nicht geschafft, eine Sicherheitslücke in Gatekeeper zu schließen. Wie der Sicherheitsexperte Patrick Wardle berichtet, ist der Malwareschutz von Mac OS X nach wie vor einfach auszuhebeln. Wardle ist auch der ursprüngliche Entdecker der Schwachstelle.

Malware (Bild: Shutterstock / Maksim Kabakou)

Die seit OS X 10.8 Mountain Lion angebotene Funktion soll wie standardmäßig nur Anwendungen aus dem Mac App Store und von zertifizierten Entwicklern zulassen. Patrick Wardle, Forschungsleiter der Sicherheitsfirma Synack, entdeckte jedoch schon im Juni vergangenen Jahres einen Designfehler. Gatekeeper prüft ihm zufolge nicht, ob sich eine einmal als vertrauenswürdig klassifizierte App später nicht doch verdächtig verhält.

Der Forscher konnte Gatekeeper mit einem schlichten Exploit überlisten. Dazu kombinierte er eine von Apple signierte Binärdatei mit einer oder mehreren Schaddateien. Die überstanden dann die Überprüfung durch Gatekeeper problemlos. Die signierte Datei führte danach dann die im selben Ordner befindlichen Schadprogramme aus, um weitere Schadsoftware zu installieren.

Der Sicherheitsexperte meldete die Anfälligkeit vertraulich an den Hersteller. Apple versuchte sie im Oktober mit einem ersten Patch zu beseitigen. Dazu setzte das Unternehmen aber lediglich die von Wardle mit seinem Proof-of-Concept-Code bereitgestellte Binärdatei auf eine Schwarze Liste. Threatpost erfuhr anschließend von Wardle, dass er nur etwa 30 Sekunden brauchte, um denselben Angriff mit anderen Binärdateien durchzuführen. Ähnlich unzureichend ist demzufolge auch der jetzt nachgereichte Patch. Er lasse sich mit derselben Herangehensweise aushebeln, nur dass die Implementierung diesmal über die in OS X integrierte Malware-Erkennung XProtect erfolgte.

“Ich glaube, dass viele Anwendungen missbraucht werden können, um diesen Fehler auszunutzen, daher ist Blacklisting meiner Meinung nach eine richtig schlechte Idee”, erklärt Wardle dazu. Der Patch gebe Nutzern außerdem ein trügerisches Gefühl der Sicherheit. Verpfuschte oder schwache Patches kämen “geschenkten Zero-Day-Exploits” gleich, da Kriminelle nur darauf hingewiesen würden, sie sich näher anzusehen und durch Reverse Engineering den ursprünglichen Fehler zu identifizieren. Apple sei besser beraten, sich zurückzuhalten und erst mit einer vollständigen Fehlerbehebung zu reagieren.

Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge in den vergangenen zwölf Monaten geschlossen (Grafik: Statista).
Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen, die insgesamt größte Anzahl davon bei Max OS X (Grafik: Statista).

Patrick Wardle hält Mac-Anwender weiterhin für gefährdet. Dies gelte insbesondere dann, wenn Angreifer schon eine Man-in-the-Middle-Position in einem Netzwerk haben oder wenn App-Downloads von einer nicht vertrauenswürdigen Site bezogen werden. Das sei möglich, da viele Organisationen über Entwicklerzertifikate von Apple verfügten, um Enterprise-Anwendungen für OS X und iOS erstellen zu können und sie außerhalb des App Store zu verteilen. Über unsichere HTTP-Verbindungen heruntergeladene Apps seien besonders durch mögliche Injection-Angriffe gefährdet, wenn ein Hacker bereits in ein Netzwerk eindringen konnte.

Wardle erfuhr von Apple, der jüngste Bugfix sei ein “sehr gezielter Patch” und eine umfassende Lösung in Arbeit. “Ich spreche darüber, weil ich buchstäblich nur fünf Minuten für einen Patch-Reverse und den Einsatz einer neuen Binärdatei brauchte. Ich wäre nicht überrascht, wenn Hacker und potenzielle Angreifer das ganz ähnlich angehen würden”, führt der Experte aus.

[mit Material von Bernd Kling, ZDNet.de]

Seit September 2013 ist Rainer hauptsächlich für ITespresso im Einsatz, schreibt aber gerne auch mal hintergründige Artikel für ZDNet und springt ebenso gerne für silicon ein. Er interessiert sich insbesondere für die Themen IT-Security und Mobile. Sein beständiges Ziel ist es, die komplexe IT-Welt so durchsichtig und verständlich wie möglich abzubilden.

Folgen