Seite 4: Apples Mac-Systemschutz XProtect könnte besser sein

Inhaltsverzeichnis

Mac & i: Apples hauseigene Datenbank gegen Malware, XProtect, soll das Ausführen problematischen Codes verhindern. Ist das ein vernünftiges Werkzeug oder reicht es nicht aus?

Wardle: Ich habe mich schon ein paar Mal über XProtect lustig gemacht, muss aber sagen, dass es durchaus tut, was es tun soll: neue Infektionen mit bekannter Malware verhindern. Das erfolgt über einfache Signaturen, einige sind einfach nur der Hash-Wert einer problematischen ausführbaren Binärdatei. Dadurch wird aber neue Malware nicht erkannt. Schlimmer noch, sobald Malware über eine XProtect-Signatur erkannt wird, kann der Autor sie einfach neu kompilieren – unter Umständen sogar nur neu benennen. Damit ist XProtect umgangen. Allerdings haben die meisten macOS-Anti-Viren-Produkte die gleichen Einschränkungen, hängen von statischen, sehr „brüchigen“ Signaturen ab.

Eine weitere Einschränkung von XProtect ist die Tatsache, dass es nur Dateien scannt, die aus dem Internet heruntergeladen wurden, bei denen das sogenannte Quarantäne-Bit gesetzt wurde. Die Erkennung läuft auch nur beim ersten Ausführen. Entsprechend kann der Schutz bereits existierende Infektionen nicht erkennen, selbst von bekannter Malware!

Apple heuert bekannte Hacker an

Mac & i: Apples IT-Sicherheitsabteilung hatte in verschiedenen Hackerkreisen lange Zeit keinen guten Ruf, weil man sich zu verschlossen gab. Hat sich das mittlerweile geändert?

Wardle: Ich gehöre ja zu denen, die freimütig zugeben, Apples Security-Team nicht immer im besten Licht erscheinen zu lassen. Aber ich muss sagen, sie sind in letzter Zeit wirklich vorangekommen! Sie scheinen endlich proaktiv auf die externe Hacker- und Sicherheitsforschungsgemeinschaft zuzugehen. Dieser Ansatz ist meiner Meinung nach eine deutlich erwachsenere Haltung zum Thema Sicherheit und wird Apple bestimmt helfen, seine Geräte besser abzusichern.

Der Auftritt des Teams bei der Hackerkonferenz „Blackhat“ im letzten Jahr kam in der Szene wirklich gut an. Gleiches gilt für den Start eines Bug-Bounty-Programms, für den Apple einen großen Teil der wichtigen macOS- und iOS-Hacker und Sicherheitsforscher direkt in sein Hauptquartier eingeladen hatte. Ich sehe definitiv ein neues Kapitel der Offenheit beim Sicherheitsteam. Und dafür hat Apple Lob verdient!

Mac & i: Apple hat einige in der Szene sehr respektierte Sicherheitsexperten anwerben können, zuletzt etwa den iOS-Forensiker Jonathan Zdziarski. Ist das hilfreich?

Wardle: Ja! Mittlerweile stapeln sie sich bei Apple fast – Jonathan ist da nur ein Beispiel. Meiner bescheidenen Meinung nach ist das ein grundlegender Weg, Apples Haltung zum Thema Sicherheit im Kern zu verbessern. Diese Leute sind unglaublich talentiert und waren für einige tolle Hacks verantwortlich, bevor sie zu Apple kamen – sowohl unter iOS als auch unter macOS.

Sobald Apple solche Talente anstellt, können sie intern die Sicherheit von Apples Produkten verbessern – und zwar massiv. Sie könnten sich beispielsweise Low-Level-Routinen ausdenken, die ganze Fehlerklassen nicht mehr ausnutzbar machen, das sind mächtige Sachen. Als macOS- und iOS-Nutzer freue ich mich besonders darüber, dass diese Neueinstellungen die grundlegende Systemsicherheit erhöhen werden.

Mac & i: In welchen Sicherheitsbereichen könnte Apple einen besseren Job machen?

Wardle: Apple kann sich, wie wir alle, immer weiter verbessern – ohne jetzt hier wie ein Hippie klingen zu wollen. Auch wenn sich ihre Haltung zum Thema Sicherheit wie erwähnt stark verbessert hat, gibt es Bereiche, in denen definitiv noch Arbeit vor ihnen liegt.

Wir haben bereits darüber geredet, dass die Mehrzahl von Mac-Malware nun eine Signatur aufweist, um Gatekeeper zu umgehen. Das zeigt, wie einfach es ist, an eine betrügerische Apple-Developer-ID zu gelangen. Ich möchte gerne, dass Apple dafür sorgt, dass dieser Prozess weniger einfach zu missbrauchen ist, und proaktiver wird, was das Sperren solcher Zertifikate anbetrifft, besonders auch bei Adware.

Ich denke außerdem, dass Apple einen besseren Job beim Patchen von Sicherheitslücken machen könnte. Ich will hier zwar nicht all meine Geheimnisse verraten, aber ich selbst habe eine ordentliche Anzahl von Sicherheitslücken gesammelt, indem ich Apples eigene Patches abgeklopft habe. Kürzlich habe ich einen Kernel-Fehler gemeldet, der unter bestimmten Bedingungen eine Kernel-Panic erzeugen konnte. Als ich dann Apples Patch für meinen Bug analysiert habe, wurde mir klar, dass er nicht nur das Problem nicht löste, sondern gleichzeitig noch eine schwerwiegendere neue Lücke einführte, den Leak von Kernel-Informationen.

Der neue Bug ist nun zwar gefixt, doch als Mac-Nutzer stört es mich schon, dass Apples Fehlerbehebungen neue Probleme einführen und das erstaunlich oft tun. Manchmal sind sie dann schwerwiegender als die Ausgangsfehler.