macOS: Zurückgelassene Helper-Tools als Sicherheitsproblem
"Privileged Helper Tools" können es Mac-Malware erlauben, Root-Rechte zu erlangen, warnt ein Entwickler. Nutzer sollten zum Schutz selbst aktiv werden.
- Leo Becker
Der Entwickler des Sicherheits-Tools Little Snitch warnt vor einem Schwachpunkt in macOS: Sogenannte "Privileged Helper Tools" erlauben Apps, Root-Rechte zu erlangen, um vom Nutzer abgesegnete Aktionen auszuführen – etwa das automatische Durchführen von Backups. Die Helper Tools seien aber oft nicht richtig abgesichert, wie das Entwicklerstudio Objective Development ausführt. Auf diesem Wege könne auch Malware den Rechner übernehmen, sobald sie es erst auf den Mac geschafft hat.
Schwachpunkt in Little Snitch bereits gefixt
Bei einem Code-Review habe man bemerkt, dass sich das eigene Helper Tool von lokaler Software dazu ausnutzen lasse, Root-Rechte zu erschleichen – der Bug wurde mit einem Update im Juli behoben.
Dabei sei aber auch aufgefallen, dass ähnliche Probleme in vielen anderen Apps und den zugehörigen Helper Tools bestehen dürften, weil Apples Dokumentation dazu nur karg sei und im Web viele irreführenden Code-Beispiele zur Umsetzung zu finden sind, wie Objective Development ausführt.
Die Privileged Helper Tools hat Apple mit Mac OS X 10.6 eingeführt, um das Ausführen bestimmter Tasks mit höheren Rechten zu erlauben, ohne dem gesamten Programm die zusätzlichen Rechte einräumen zu müssen. Entwickler würden sich leicht in dem falschen Glauben wiegen, das Helper Tool könne nur von der eigenen Software angesprochen werden, schreiben die Little-Snitch-Entwickler – doch sei es über Apples XPC-Service in macOS global ansprechbar und damit für jedes Programm grundsätzlich zugänglich, solange keine gezielte Autorisierung zur Absicherung erfolgt.
Objective Development liefert ausführliche Details für andere Entwickler, um den eigenen Code zu prüfen. Man sei bereits an andere Mac-Entwickler herangetreten, die Privileged Helper Tools einsetzen.
Nutzer müssen ihren Mac selbst auf zurückgelassene Helper prüfen
Besonders problematisch: Hat der Nutzer die App, die das Privileged Helper Tool erstellt hat, bereits gelöscht, kann der Entwickler das Problem später nicht mehr durch ein Update beseitigen. Nicht abgesicherte Helper verbleiben so möglicherweise über Jahre auf dem System und können als Root-Einfallstor für Malware dienen. Nutzer sollten deshalb prüfen, ob im Verzeichnis /Library/PrivilegedHelperTools
solche Tools installiert sind. Helper Tools, die nicht mehr gebraucht werden oder nicht klar zuzuordnen sind, sollte man löschen, so Obdev.
(lbe)