Schutz vor Mac-Malware: FlockFlock informiert über Dateizugriffe

Unter dem Namen FlockFlock bietet der Sicherheitsforscher Jonathan Zdziarski ein neues Tool für Mac OS X an, das über den Zugriff auf Dateien des Nutzers informiert und dafür jeweils eine Freigabe erfordert. Dies soll verhindern, dass Spyware oder ein Erpressungstrojaner überhaupt in die Lage gerät, Schaden anzurichten – sowie das System unbemerkt zu infizieren. FlockFlock sei mit Little Snitch zu vergleichen, schreibt Zdziarski, statt die Netzwerkaktivitäten überwacht es aber die Dateizugriffe.

FlockFlock setzt als Kernel-Extension (Kext) auf unterster Ebene an, ein Angreifer mit Root-Rechten könne zwar den Helper-Prozess stoppen, das Kernel-Modul werde seinen Dienst aber weiter verrichten und sich gegen Lösch-Verschuche zur Wehr setzen, verspricht der Sicherheitsforscher. Derzeit funktioniert FlockFlock allerdings nur, wenn der Nutzer die Kext-Prüfung von Apples Systemmodifizierungsschutz System Integrity Protection (SIP) deaktiviert. Er habe aber bereits ein Zertifikat bei Apple angefragt, damit das Tool mit SIP zusammenspielt, schreibt Zdziarski, bis dahin sei es nur für Testläufe gedacht.

Noch im Alpha-Stadium

FlockFlock ist quelloffen und derzeit noch im Alpha-Stadium, neben dem Quelltext lässt sich auch ein Installationspaket auf Github beziehen. Eine Bedienoberfläche zur Verwaltung der vom Nutzer erstellten Regeln gehört derzeit noch zu den geplanten Funktionen. Die Software wurde mit OS X 10.11 El Capitan getestet und läuft aktuell nicht stabil beim Einsatz der Beta von macOS Sierra.

Mac-Nutzer erhalten mit FlockFlock ein weiteres Tool, um sich gegen Malware zu wappnen. Im April hatte der Sicherheitsforscher Patrick Wardle bereits die Software RansomWhere? veröffentlicht, die gezielt über Verschlüsselungsaktivitäten informiert.

Mehr zum Thema:

• Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

(lbe)