Apple Mac OS X: Gatekeeper lässt sich leicht austricksen

Gatekeeper ist eine Sicherheitsfunktion im Apple OS X für Macs, welche Schadsoftware draußen halten soll. Ähnlich wie an mobilen Endgeräten können Nutzer zudem manuell einstellen, dass Gatekeeper beispielsweise die Installation von Software aus allerlei Quellen direkt blockiert. Leider haben Forscher nun herausgefunden, dass sich selbst die strikteste Einstellung relativ leicht austricksen lässt und Malware damit Tür und Tor öffnet.

Beispielsweise lässt sich im Gatekeeper auch einstellen, dass nur Programme gestartet werden können, die aus dem Mac App Store heruntergeladen wurden bzw. von durch Apple zertifizierten Entwicklern stammen. Ein Forscher hat es aber nun geschafft, über eine vertrauenswürdige Binary-Datei die Sicherheitsmechanismen auszuhebeln. Wurde besagte Datei durchgeschleust, kann sie andere, schädliche Dateien ausführen, die im selben Ordner lagern. Über diese Bundles lässt sich Schadsoftware von Keyloggern über Apps die Audio und Video aufzeichnen bis hin zu Botnet-Programmen auf den betroffenen Mac hieven.

Der Leiter der Sicherheits-Forschung der Firma Synack, Patrick Wardle, mahnt, dass der Trick durch eine Lücke im grundsätzlichen Design von Gatekeeper möglich sei: Gatekeeper prüfe die digitale Signierung einer heruntergeladenen App, bevor sie installiert werde. Dadurch stelle man fest, ob das jeweilige Programm aus dem offiziellen App Store bzw. von einem vertrauenswürdigen Entwickler stamme. Doch Programme, die seitens des OS X bereits als sicher eingestuft werden, können dann zweckentfremdet werden, so Wardle:

[color-box color=“gray“ rounded=“1″]“Wurde das Programm als sicher eingestuft, weil es aus dem Mac App Store oder von einem vertrauenswürdigen Entwickler stammt, sagt der Gatekeeper im Grunde: ‚Ok, das darf laufen.‘ – dann verabschiedet sich der Gatekeeper sozusagen. Danach wird nicht mehr kontrolliert, was die jeweilige Sofware genau treibt. Sollten also nachträglich schädliche Inhalte aus dem selben Verzeichnis geladen werden, prüft Gatekeeper das nicht mehr nach.“[/color-box]

Um das Procedre auszutesten hat Wardle eine öffentlich verfügbare Binary-Datei hergenommen, die bereits durch Apple signiert wurde. Wenn jene aber ausgeführt wird, startet sie wiederum eine separate Datei aus dem gleichen Verzeichnis. Der Exploit funktioniert so, dass Wardle die erste Binary umbenannt hat, sie aber sonst unverändert belies. Jene verpackte Wardle mit anderen Dateien in ein Apple Disk Image. Weil die Binary-Datei aber bereits durch Apple signiert wurde, winkt Gatekeeper das gute Stück unbesehen durch. Allerdings kann diese Binary-Datei dann nach der Ausführung im selben Ordner nach einer zweiten Binary aus dem Disk Image suchen. Hier hatte Wardle die eigentlich vorgesehene, zweite Binary durch eine manipulierte Datei ausgetauscht, welche unter dem gleichen Dateinamen duchgeschleust wurde. Für die zweite Anhängsel-Datei war keine Überprüfung notwendig. Und schwupps, könnten Angreifer loslegen.

Laut Wardle gebe es noch weitere, ähnliche Methoden Gatekeeper auszuhebeln. Etwa könne man Installer umbenennen, z. B. von Programmen wie Photoshop, und sie ebenfalls mit Schadsoftware bündeln. Auch hier prüft Gatekeeper nur den Installer und winkt anschließend den Rattenschwanz mit durch. Allerdings ist dieses Procedere auffällig, da die jeweiligen Installer dann auch die ursprünglich vorgesehene Software installieren. Wenn also beispielsweise plötzlich Photoshop auf den Rechner gepackt wurde, obwohl etwas anderes vorgesehen war, dürften die meisten User skeptisch werden und nach anhängender Malware Ausschau halten.

Sicherheitsforscher Wardle warnt, dass es bestimmt noch andere von Apple als vertrauenswürdig eingestufte Binaries gebe, mit denen der Gatekeeper-Exploit möglich sei. Er verschweigt bewusst, welche Binary er entdeckt hat, um nicht unnötig Angreifern noch Möglichkeiten zu eröffnen. Apple ist allerdings bereits informiert und arbeite bereits an einem Fix.

Am Ende ist die Entdeckung natürlich eine Gefahrenquelle, der man sich bewusst sein sollte. Dass jedoch kein Sicherheitsmechanismus, auch Apples Gatekeeper nicht, zu 100 % das System absichern kann, sollte jedem User klar sein. Wichtig ist ein wachsames Auge bei jeder Installation.

(via ArsTechnica)