Sicherheitsforscher: Neue Schutzfunktion von macOS Mojave lässt sich überlisten
MacOS 10.14 warnt, wenn Apps auf Kamera und Mikrofon zugreifen. Weil Apple eigenen Apps besondere Rechte einräumt, könne auch Malware dies leicht umgehen.
Vor Freigabe von Webcam und Mikrofon soll macOS Mojave erst Erlaubnis einholen – dies lässt sich derzeit aber leicht umgehen.
(Bild: Screenshot: Patrick Wardle)
Mit macOS-Version 10.14 will Apple Macs besser absichern: Greifen Apps auf Kamera oder Mikrofon zu, zeigt das System erst eine Warnung und holt die Bestätigung des Nutzers ein. Das ist eine begrüßenswerte Neuerung, erklärt der Sicherheitsforscher Patrick Wardle, schließlich gebe es mehrere Exemplare an Mac-Malware, die Nutzer auf diese Weise ausspionieren wollten. Allerdings lässt sich die neue Schutzfunktion leicht umgehen – und zwar mit Bordmitteln, wie Wardle betont.
Apples Sonderrechte für eigene Apps dienen als Schlupfloch
Um Video- und Audioaufnahmen mit dem Mac zu machen, müsse Malware lediglich auf eine von Apples eigenen Apps zurückgreifen, denen der Hersteller Sonderrechte – anhand sogenannter Entitlements – einräumt. Zu diesen Entitlements gehört auch, Kamera und Mikrofon aktivieren zu können ohne dass der neue Warndialog erscheint. Diese Ausnahme gilt beispielsweise für Apples FaceTime oder QuickTime.
(Bild: Apple-Keynote)
Schad-Software könne einfach mit Hilfe von AppleScript dem QuickTime-Player befehlen, eine neue Videoaufzeichnung zu starten, dies erfolge dann ohne den neuen Warndialog. Die Aufzeichnung lasse sich auch problemlos weiter verschleiern etwa durch Abdunkeln des Bildschirms, führt Wardle aus.
Bei Aktivierung der integrierten Kamera leuchte aber weiterhin die daneben installierte LED-Anzeige auf, betont Wardle. Dies allein scheint Nutzer jedoch nicht zwangsläufig zu alarmieren: Vor mehreren Jahren wurde ein Fall bekannt, in dem eine US-Schulbehörde eine Überwachungssoftware auf den MacBooks der Schüler installiert hatte und darüber auch Webcam-Aufnahmen anfertigte – dies blieb länger unbemerkt. Die Warn-LED der MacBooks ging dabei jeweils nur kurz an, was offenbar meist übersehen oder als Fehler wahrgenommen wurde.
macOS 10.14 Mojave erscheint erst im Herbst
Seine Methode sei kein toller Hack, schreibt der Sicherheitsforscher, aber sie umgehe eine grundlegende Sicherheitsfunktion von macOS Mojave – zumindest in der bislang verfügbaren ersten Entwickler-Beta. macOS 10.14 soll für die Allgemeinheit erst im Herbst zum Download bereitstehen. Es handelt sich dabei aber nicht um einen leicht zu beseitigenden Bug, sondern um eine “legitime Funktionalität des Betriebssystems”.
Wardle kritisiert Apples in macOS integrierte Schutzmaßnahmen seit vielen Jahren, sie Auszutricksen sei trivial. Mit Oversight bietet bietet der Entwickler ein eigenes kostenloses Tool an, das Nutzer vor dem Kamera- und Mikrofonzugriff warnt – auch wenn dies von Apples hauseigenen Apps ausgeht.
[Update 7.06.2018 12:20 Uhr] In einer WWDC-Präsentation zur Sicherheit von macOS betont Apple, dass ein Umgehen der neuen Schutzfunktionen von macOS 10.14 Mojave durch Scripting künftig verhindert werden soll. Auch beim Umweg über werde das System vor dem Zugriff auf sensitive Daten oder Funktionen erst die Erlaubnis des Nutzers einholen und dafür einen entsprechenden Warndialog einblenden, so ein Apple-Entwickler. Entsprechend soll die von Wardle geschilderte Methode künftig nicht mehr funktionieren.
Lesen Sie auch:
- Facebook-Chef setzt offenbar auf Klebeband als Schutz vor Hackern
- Einen ausführlichen Artikel über die Sicherheitsarchitektur von macOS lesen Sie in Mac & i Heft 3/2018.
(lbe)
