Exploit zeigt: Malware-Schutz von Mac OS X lässt sich einfach umgehen
Er macht sich die Tatsache zunutze, dass Gatekeeper von Apple bereits signierte Binärdateien nicht nochmals überprüft. Werden sie mit Malware kombiniert, kann die so ungeprüft auf den Rechner gelangen. Apple ist seit über 60 Tagen informiert, arbeitet aber offenbar noch an einem Patch.
Patrick Wardle von der IT-Sicherheitsfirma Synack hat einen gravierenden Designfehler bei Apples in Mac OS X enthaltener Sicherheitssoftware Gatekeeper aufgedeckt: Wird Malware mit einer von Apple signierten Binärdatei kombiniert, kann sie Gatekeeper unbehelligt passieren. Auf dem Rechner führt die signierte Datei dann die im selben Ordner befindlichen Schadprogramme aus und kann so weitere Malware installieren. Laut einem Bericht von Ars Technica ist der Grund dafür, Gatekeeper nicht prüft, ob sich eine inmal als vertrauenswürdig eingestufte App unerwartet oder gefährlich verhält.
Laut Wardle ist das ein Designfehler in Gatekeeper. Dessen Hauptfunktion sei es, zu prüfen, ob das digitale Zertifikat einer heruntergeladenen App von einem von Apple anerkannten Entwickler stammt oder der Download selbst aus dem offiziellen App Store. “Wenn die Anwendung gültig ist, dann sagt Gatekeeper ‘Ok, das kann ausgeführt werden’, und beendet dann seine Prüfung”, sagte Wardle im Gespräch mit Ars Technica. Gatekeeper überwache die Anwendung allerdings nicht und untersuche auch keine anderen Inhalte im selben Ordner, die die Anwendung ausführt.
Für den Exploit hat Wardle eine von Apple signierte Binärdatei genommen, die bei ihrer Installation eine weitere Binärdatei ausführt. Letztere tauschte er gegen eine von ihm manipulierte Binärdatei aus, die er in ein Apple Disk Image packte. Das könnte zum Beispiel der Installer einer Anwendung wie Photoshop sein, der mit präparierten Plug-ins gebündelt wurde, die vom Programm wiederum automatisch geöffnet werden. Gatekeeper prüfe nur den ersten Installer. Daher würden Nutzer nicht vor den gefährlichen Plug-ins gewarnt, so Wardle.
Apple wurde von Wardle bereits vor über 60 Tagen über die Sicherheitslücke informiert. Das Unternehmen arbeite an der Lösung des Problems. “Wenn ich das finden kann, dann muss man annehmen, dass auch Hackergruppen oder staatliche Einrichtungen ähnliche Schwachstellen gefunden haben”, meint Wardle. Seiner Ansicht nach gibt es bestimmt noch andere von Apple signierte Anwendungen, die sich benutzen lassen, um Gatekeeper zu umgehen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de