macOS: Code-Signing teilweise aushebelbar
Gatekeeper soll dafür sorgen, dass bekannte Malware auf dem Mac nicht startet. Überprüft wird aber oft nur ein Mal, warnt ein Sicherheitsforscher.
Icon von Gatekeeper.
(Bild: Apple)
Mittels Code-Signing von Apps versucht Apple, Datenschädlinge vom Mac fernzuhalten. Allerdings wird überprüft, ob keine bekannte Malware ausgeführt wird, im Rahmen der Sicherheitsroutine Gatekeeper bei den meisten Anwendungen nur ein Mal, nämlich beim ersten Start. Das bemängelte der Sicherheitsforscher Thomas Reed, der bei Malwarebytes für Mac- und iOS-Security zuständig ist, auf der Konferenz "Virus Bulletin" in Montreal in der vergangenen Woche.
"Zahllose" Apps verwundbar
Da die Signaturüberprüfung so selten stattfinde, sei es leicht möglich, legitime Apps "zu entführen", die bereits auf dem System installiert sind. Die meisten Entwickler seien sich dieser Problematik aber bislang nicht bewusst und führten nicht von sich aus in ihren Apps eigene Gatekeeper-Checks durch.
Das ergebe in der Praxis "zahllose" angreifbare Mac-Apps auf dem Markt. "Selbst wenn eine Anwendung böswillig modifiziert oder beschädigt wurde und die Code-Signatur ungültig wird, kommt es dann nicht zu einer Nachüberprüfung", sagte Reed.
Signaturüberprüfung besser bei jedem Start
Der Sicherheitsforscher stellte allerdings auch fest, dass die Aktualisierung von Anwendungen manchmal neuerliche Signaturüberprüfungen auslöst. Dabei sind Reed allerdings auch Apps untergekommen, die nur den aktualisierten Code checken, nicht jedoch das noch vorhandene Basisprogramm. Das Problem steckt interessanterweise selbst in manchen Sicherheitsprogrammen.
Reed selbst sagte gegenüber dem Magazin Wired, er habe die Mac-Version der Malwarebytes-Software mittlerweile aus Sicherheitsgründen so verändert, dass die vollständige Signaturüberprüfung bei jedem Start erfolge. "Das ist total machbar, dieser zusätzliche Schritt ist nicht sehr ressourcenintensiv." Aktuell ist keine Malware bekannt, die das Signaturproblem aktiv ausnutzen würde. "Das könnte in Zukunft aber problemlos passieren", warnte Reed. macOS verhalte sich wie von Apple geplant, doch es falle auf die Schultern der Entwickler zurück, ihre Apps gegen solche Gefahren abzusichern. (bsc)
