Machiavelli: Demo-Rootkit für Mac OS X

Am letzten Tag der Sicherheitskonferenz Black Hat stellte der IT-Security-Experte Dino Dai Zovi sein Machiavelli getauftes Rootkit für Mac OS X vor. Damit ist die von echter Malware weitgehend verschonte Welt der Apple-Anwender zumindest um die Proof-of-Concept-Variante eines Schädlings reicher.

Frei nach dem Leitspruch "teile und herrsche" schmuggelt sich Macchiavelli als RPC-Subsystem in den Mach-Kernel ein, der quasi das Fundament von Mac OS X bildet. Es installiert einen lokalen Agent, der sich übers Netz fernsteuern lässt, dabei aber aus dem Anwendersicht quasi unsichtbar ist. Die Installation des Rootkits erfordert Amdinistrator-Rechte, und selbst Dai Zovi ist nicht der Ansicht, dass er damit Fehler in Mac OS X aufgedeckt hätte. Die näheren Details beschreibt er in Advanced MAC OS X Rootkits.

Die geplante Live-Demonstration schlug fehl; Interessierte sollen das Demo-Rootkit jedoch demnächst für eigene Experimente herunterladen und selbst installieren können. Darüber hinaus will Dai Zovi noch weitere Tools veröffentlichen, darunter iChatSpy (zum Mitschneiden von iChat-Kommunikation), SSLSpy (zum erfassen von SSL-Traffic) oder iSightSpy (zum Aufnehmen von Bildern mit der in Apple-Notebooks und-Displays integrierten Webcam). Wann die Tools zum Download bereit stehen, mochte der Hacker noch nicht sagen. (Uli Ries) / (ju)