Sicherheitsforscher: Apples Gatekeeper weiterhin löchrig
Die OS-X-Schutzfunktion soll verhindern, dass Nutzer unsignierten Code ausführen. Eine Schwachstelle ermöglicht aber, Gatekeeper zu umgehen. Dies soll weiterhin klappen – obwohl Apple schon zweimal nachgebessert hat.
Trotz erster Gegenmaßnahmen durch Apple lässt sich Gatekeeper weiterhin austricksen, um Malware in OS X einzuschleusen. Dies erklärte der Sicherheitsforscher Patrick Wardle, der den Mac-Hersteller im vergangenen September auf die Schwachstelle hingewiesen hatte, gegenüber Threatpost.
Das von Wardle beschriebene Problem liegt darin, dass Gatekeeper nur die erste ausführbare Datei eines Programms prüft. Legt ein Angreifer eine weitere Binär-Datei bei, die von der bereits als vertrauenswürdig eingestuften Software ausgeführt wird, unterbindet Gatekeeper dies nicht.
Das in OS X integrierte Schutzsystem soll eigentlich verhindern, dass Nutzer nicht signierten Code ausführen ohne nachzudenken. Als Standardeinstellung werden nur mit einem Entwicklerzertifikat signierte oder aus dem Mac App Store bezogene Programme geöffnet – bei anderer Software erscheint ein Warnhinweis.
Apples "Blacklisting" unzureichend
Apple habe auf die Schwachstelle reagiert, indem die als Proof-of-Concept eingereichten Binär-Dateien von OS X nicht mehr ausgeführt werden, erklärte Wardle – inzwischen sei auch Apples Anti-Malware-Tool Xprotect entsprechend erweitert worden. Dieses "Blacklisting" sei aber eine "wirklich schlechte Idee", so der Sicherheitsforscher, es sorge lediglich für ein falsches Sicherheitsgefühl bei den Nutzern. Er habe die Gegenmaßnahmen innerhalb von sehr kurzer Zeit durch geänderte Binaries überlisten können – ein Angreifer habe es genauso leicht.
Angreifer können die Gatekeeper-Schwachstelle also weiterhin zum Einschleusen und Ausführen von Schadcode ausnutzen, betont Wardle. Dies setzt voraus, dass Nutzer Software aus unbekannter Quelle herunterladen oder ein Man-in-the-Middle-Angriff aus dem gleichen Netzwerk erfolgt – und den Download über eine ungesicherte Verbindung manipuliert.
Größerer Patch in Arbeit
Apple hat gegenüber Wardle bereits eine "umfangreichere Lösung" für das Problem in Aussicht gestellt, die bisherigen Gegenmaßnahmen seien nur ein "sehr gezielter Patch". Wann ein entsprechendes Update erscheint, bleibt unklar. Wardle, der für die Unternehmensberatung Synack arbeitet, kritisiert Apples OS-X-Schutzmaßnahmen seit längerem: Das Austricksen von Gatekeeper, Xprotect und der Sandbox von OS X sei trivial.
(lbe)