Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Firewall-Umgehung in macOS 11: Malware kann Apples Ausschlussliste missbrauchen

Apple-Dienste bleiben für lokale Firewalls in macOS 11 unsichtbar. Auch Malware könne so nach Hause telefonieren, warnt ein Sicherheitsforscher.

In Pocket speichern vorlesen Druckansicht 51 Kommentare lesen
Tastatur eines Notebooks
Lesezeit: 2 Min.
Mac & i
Von

Apples Ausschlussliste könnte Schad-Software die Umgehung von lokalen Firewalls in macOS 11 ermöglichen: Es sei für Malware leicht möglich, mit Hilfe eines Apple-Dienstes eine versteckte Netzwerkverbindung aufzubauen, selbst wenn der Nutzer mit einer Firewall wie Little Snitch alle ausgehenden Verbindungen eigentlich blockiert, warnt der Sicherheitsforscher Patrick Wardle.

"Huckepack"-Verbindung für Malware

Mit einem kleinen selbstgeschriebenen Tool ist es Wardle gelungen, eine Datei vom Schreibtisch seines Macs ungehindert an einen entfernten Server zu übertragen, obwohl eine lokale Firewall sämtlichen ausgehenden Traffic blockierte.

Das Tool hängte sich dafür offenbar "huckepack" an einen der Apple-Dienste, die auf der in das Betriebssystem integrierten Ausschlussliste für Content Filter stehen und deren Netzwerkaktivitäten dadurch für Firewalls – die Apples neue, vorgeschriebenen Frameworks verwenden – nicht länger sichtbar sind. Eine derartige Umgehung der Firewall sei trivial gewesen, so Wardle. Er habe Apple schon vor der Veröffentlichung von macOS 11 Big Sur in einem Bug-Report davor gewarnt. Weitere Details nannte der Sicherheitsforscher bislang nicht, so bleibt etwa unklar, welchen Apple-Dienst das Tool für die ungehinderte Netzwerkverbindung verwendete.

Ausschlussliste für über 50 Apple-Dienste

Apple setzt seit macOS 10.15 Catalina über 50 seiner eigenen Apps und Dienste auf eine Ausschlussliste. Sie macht deren Netzwerkaktivitäten für Dritt-Apps unsichtbar, die etwa Apples Network Extensions NEFilterDataProvider und NEAppProxyProviders einsetzen.

Firewalls wie Little Snitch oder auch Wardles LuLu müssen in macOS 11 Big Sur die neuen Extensions nutzen, das gilt auch für Datenspar-Software wie TripMode, die so nicht mehr zuverlässig den möglicherweise erheblichen Datenverkehr von Apple-Diensten unterbinden kann. Die Weiterverwendung bisheriger Kernel-Erweiterungen, die ein tieferes Eingreifen in das System ermöglichten, ist den Apps nicht mehr erlaubt.

Little Snitch sucht derzeit nach einem Weg, um die Verbindungen von Diensten auf der Ausschlussliste doch noch sichtbar zu machen und hofft, dass Apple die Umsetzung doch noch überdenkt.

Lesen Sie auch

(lbe)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten