macOS Catalina: Terminal-Sonderrechte umgehen Schutzfunktion
Apples Terminal erhält in macOS 10.15 undokumentierte Sonderrechte beim Dateizugriff – permanent und ohne Hinweis.
(Bild: Apple)
- Leo Becker
Die Terminal-App von macOS räumt sich in Catalina Spezialrechte ein, die Apples erweiterte Schutzfunktionen umgehen: Zieht man eine Datei oder einen Ordner aus dem Finder in das Terminal, erscheint dort wie gewohnt der zugehörige Pfad – zugleich erhält das Terminal aber eine permanente Zugriffsberechtigung für das jeweilige Verzeichnis oder die Datei, wie der Entwickler Jeff Johnson bemerkte.
Stille Sonderrechte fürs Terminal – permanent
Der Nutzer wird darüber in keiner Weise informiert. Der nun obligatorische Erlaubnisdialog, ob man dem Terminal die entsprechende Zugriffsberechtigung geben will, erscheint nicht.
Das gilt auch für Dateien und Verzeichnisse, die im Finder kopiert und dann im Terminal eingefügt werden – bis hin zur aktuellen Version macOS 10.15.2.
Diese Sonderberechtigung räumt sich das Terminal sogar dann ein, wenn der Nutzer diesem zuvor den Zugriff – etwa auf den Downloads-Ordner – explizit untersagt hat.
Das Betriebssystem versieht eine in das Terminal gezogene oder dorthin kopierte Datei mit dem erweiterten Attribut "com.apple.macl", wie Johnson erklärt. Die Spezialberechtigung zum Zugriff überdauere auch Neustarts sowie das Zurücksetzen der Zugriffsberechtigungen des Terminals. Man kann das erweiterte Dateiattribut zudem nicht löschen, nicht einmal als root mit dem Befehl sudo, merkt der Entwickler an. Das sei erst möglich, wenn man Apples Systemintegritätsschutz abschaltet.
Zugriffsdialoge können nerven
Warum Apple diese Spezialberechtigung integriert hat, bleibt unklar – eine Dokumentation dazu fand sich bislang nicht. Möglicherweise sollte erfahrenen Nutzern auf diesem Weg die schnell nervende Zugriffsnachfrage von macOS Catalina zumindest bei gezielten Aktionen im Terminal erspart bleiben. Alle Apps müssen in macOS 10.15 erst um Erlaubnis bitten, wenn sie auf Verzeichnisse des Nutzers zugreifen wollen – etwa auch auf den Schreibtisch oder den Dokumente-Ordner.
[Update 20.12.2019 11:20 Uhr] In einer WWDC-Session betonte Apple im Juni, dass die Datenschutzfunktionen von macOS Catalina die "Nutzerabsicht" einbeziehen, um den "Workflow" nicht durch Einblendung eines Dialoges zu stören. Wenn beispielsweise eine Datei per Drag & Drop vom Nutzer in ein anderes Programm gezogen wird, müsse nicht erst Zugriff darauf gewährt werden. Dass das Terminal dadurch aber permanente Sonderrechte für den Zugriff auf Dateien und Ordner erhält, selbst wenn der Nutzer dies bereits explizit abgelehnt hat, blieb dort aber unerwähnt.
(lbe)
