Malware-Gefahr: Github verliert Zertifikate von zwei Mac-Apps
Die Entwicklerplattform zieht macOS-Versionen von Github Desktop und Atom samt entsprechender Zertifikate zurück. Beide sind ins Netz entfleucht.
(Bild: Sundry Photography/Shutterstock.com)
Das Entwicklerportal Github hat seine Benutzer davor gewarnt, dass dem Unternehmen verschiedene Zertifikate entwendet wurden, mit denen in der Vergangenheit Mac-Apps signiert worden waren. Der Vorfall ereignete sich bereits Anfang Dezember und betraf die Anwendungen Github-Desktop und Atom, so die Firma. Github Desktop ist ein Client für Mac-Github-Dienste, Atom ein Editor, den die Microsoft-Tochter bereits im letzten Jahr offiziell eingestellt hatte.
Angreifer könnten sich als Github ausgeben
Mit den Zertifikaten ist es potenziell möglich, dass Angreifer Malware signieren, die dann so tut, als komme sie von Github. Das Unternehmen hat sie deshalb offiziell zurückgezogen. Das führt dazu, dass Github-Desktop unter Version 3.1.3 – aktuell ist 3.1.5 – sowie Atom 1.63.0 und 1.63.1 ab dem morgigen 2. Februar nicht mehr laufen. Bei Github Desktop sollten User auf die jüngste Version aktualisieren. Wer Atom unbedingt weiterverwenden will, muss ein Downgrade auf eine ältere Version vornehmen – es wäre aber vermutlich sinnvoller, sich einen anderen Editor zu suchen, der weitergepflegt wird.
Zum Hintergrund erklärte Github, dass die Repositories von Atom, Github Desktop "und anderer veralteter Github-Organisationen" durch einen kompromittierten Personal Access Token (PAT) geklont worden seien. "Nach der Entdeckung am 7. Dezember 2022 widerrief unser Team sofort die kompromittierten Anmeldeinformationen und begann, mögliche Auswirkungen auf Kunden und interne Systeme zu untersuchen." Keines der betroffenen Repositories habe Kundendaten enthalten.
Apple-Entwicklerzertifikat gültig bis 2027
Zum 2. Februar werden nun zwei Digicert-Code-Signing-Zertifikate für Windows – die aber offenbar nicht in Apps verwendet wurden – sowie das Zertifikat einer Apple-Developer-ID zurückgerufen. Eines der Digicerts lief allerdings bereits am 4. Januar 2023 aus, das andere am heutigen 1. Februar – die Gefahr ist dementsprechend gering, dass damit Schindluder getrieben wird. Die Apple-Developer-ID wäre hingegen noch bis 2027 gültig, entsprechend dringend ist ein schnelles Revoking. "Wir arbeiten mit Apple zusammen, um alle neuen ausführbaren Dateien (z. B. Anwendungen) zu überwachen, die mit dem offengelegten Zertifikat signiert sind, bis das Zertifikat am 2. Februar widerrufen wird", so Github in seiner Stellungnahme.
Eine Apple-Developer-ID erlaubt es, Apps zu signieren, damit sie beim Start unter macOS keine Fehlermeldung ausgeben. Apple erzwingt diese inzwischen auch von Entwicklern, die nicht den App Store verwenden und ihre Produkte über die eigene Website verteilen. Sinn der Technik ist es, Malware schneller unterbinden zu können, beziehungsweise diese erst gar nicht zur Ausführung kommen zu lassen. "Die Sicherheit und Vertrauenswürdigkeit von Github und dem breiteren Entwickler-Ökosystem hat für uns höchste Priorität. Wir empfehlen Benutzern, die oben genannten Empfehlungen zu befolgen, um Github Desktop und Atom weiterhin zu nutzen", so die Github weiter.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
