Endpoint Security: Apple sichert TCC-Framework besser ab
Bislang ist es für Sicherheitsprogramme nur schwer zu ermitteln, ob ein Nutzer problematischen Apps Freigaben erteilt. Mit macOS 15.4 ändert sich das.
Mac mini mit Apple-Tastatur: TCC soll helfen, kann aber LĂĽcken reiĂźen.
Apple hat mit dem Update auf macOS 15.4, das am Montag erschienen ist, eine wichtige Sicherheitsfunktion nachgereicht, die Administratoren interessieren dürfte: Künftig lassen sich sogenannte TCC-Events auch von Endpoint-Security-Werkzeugen erfassen. Letztere werden insbesondere in Unternehmen eingesetzt, um Nutzer davon abzuhalten, Malware zu installieren oder riskante Verbindungen aufzubauen. TCC steht für "Transparency, Consent and Control" und wird immer dann verwendet, wenn Apps bestimmte Rechte nachfragen. Apple blendet dann Einwilligungsdialoge ein. Endpoint-Security-Anwendungen bekamen diese bislang aber nur mit, wenn sie in Logdateien hineinsahen – es gab keinen offiziellen Weg, sie zu übermitteln.
Dialoge werden ĂĽbermittelt
In den letzten Jahren hatte Apple TCC-Dialoge in immer mehr Bereiche integriert – vom Zugriff auf Kamera und Mikrofon über die Rechnerfernsteuerung via Barrierefreiheitsfunktion bis hin zum Öffnen bestimmter Dateien und Ordner. Will eine Malware nun Zugriff erlangen, muss ein TCC-Dialog angezeigt und gegebenenfalls vom Nutzer abgenickt werden. Eine Endpoint-Security-Anwendung sollte dies jedoch bestenfalls mitbekommen, um gegebenenfalls eingreifen zu können. "Daher wäre es unglaublich hilfreich für jedes Sicherheitswerkzeug, dies erkennen zu können", schreibt Sicherheitsexperte Patrick Wardle, der das neue Feature entdeckt hat.
Seit der Beta von macOS 15.4 ist das Feature nun aktiv. Wardle hat auch bereits Code veröffentlicht, wie sich die Abfrage implementieren lässt. Seinen Angaben zufolge haben Sicherheitsexperten und Entwickler Apple schon seit "vielen, vielen, vielen Jahren" darum gebeten, TCC-Events an Endpoint-Security-Anwendungen weiterzugeben. "Nun kommt die Antwort auf unsere Gebete."
Relativ eingeschränkt
Ganz perfekt ist die Umsetzung laut Wardle allerdings noch nicht. Momentan existiert nämlich nur ein Event-Typ: "ES_EVENT_TYPE_NOTIFY_TCC_MODIFY". "Das kommt mir etwas unvollständig vor, beziehungsweise mindestens ziemlich nuanciert." In seinem Code zeigt wer, wie dies dennoch hilfreich eingesetzt werden kann. Wardle hofft aber, dass künftig auch andere Vorgänge übertragen werden, darunter "ES_EVENT_TYPE_AUTH_TCC_" in unterschiedlichen Varianten. Aktuell ist unklar, ob Apple davon bereits etwas in der Finalversion von macOS 15.4 umgesetzt hat, Wardle hat sich bislang nur die Beta angesehen.
TCC ist – neben Malware, die Nutzer explizit zu Freigaben auffordert – auch aus anderer Sicht manchmal problematisch: Es kommt immer wieder zu Bugs und Sicherheitslücken in diesem Bereich. Die neue Funktion hilft hier leider (noch) wenig.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
