Gatekeeper-Sicherheitslücke unter OS X immer noch nicht behoben
von André Westphal | 10 Kommentare
Anfang Oktober 2015 gab es viel Trubel um eine Sicherheitslücke im Apple Gatekeeper: Durch einen Trick war es Patrick Wardle, einem Sicherheitsexperten der Firma Synack, gelungen den Gatekeeper munter zu umgehen und Schadsoftware zu installieren. Im Rahmen des Vorgehens schleuste Wardle grob gesprochen über eine als vertrauenswürdig eingestufte Binary-Datei zugleich angehängte Schadsoftware durch. Wardle wies Apples Sicherheitsteams damals auf das Problem hin. Ein Sicherheits-Update folgte flugs und damit sollte das Thema erledigt sein. Ist es aber nicht, denn die Lücke an sich bestehe laut Wardle bis heute.
Der Sicherheitsforscher nahm sich das Sicherheits-Update von Apple mal genauer zur Brust. Anschließend musste er feststellen, dass Apple lediglich die Binaries auf die Blacklist gesetzt hatte, welche Wardle für seine Manipulationen des Gatekeepers genutzt hatte. Das beseitigt aber nur das Symptom und nicht die eigentliche Ursache. Aus diesem Grund kontaktierte Wardle Apple erneut und ein weiteres Sicherheits-Update erschien. Jenes fügte aber nur weitere Apps, mit denen der Synack-Mitarbeiter experimentiert hatte, der Blacklist hinzu.
Auch wenn Wardle Apple dafür kritisiert das Gatekeeper-Problem somit immer noch nicht zufriedenstellend gelöst zu haben, lobt er doch die Kommunikation. Apples Sicherheitsteam bestehe aus sehr fähigen Mitarbeitern mit denen er viele Informationen habe austauschen können. Zudem habe man ihm zugesichert, dass ein finaler und umfangreicherer Fix noch folgen solle.
Was Wardle im Wesentlichen bemängelt, ist, dass die Endkunden bisher jedoch einem Sicherheits-Update vertraut hätten, das nur an der Oberfläche kratze. Da er durch Reverse Engineering innerhalb von Minuten herausgefunden habe, dass der Gatekeeper-Fix nur die Symptome behebe, sei dies auch Dritten mit böswilligen Absichten möglich. Entsprechend empfiehlt der Synack-Sicherheitsexperte aktuell nur Programme aus dem Apple Mac App Store oder von renommierten Anbietern mit HTTPS-Verbindungen zu beziehen.
Wird geladen ...
„Apples Sicherheitsteam bestehe aus sehr fähigen Mitarbeitern“
„[…] das Gatekeeper-Problem somit immer noch nicht zufriedenstellend gelöst zu haben“
Irgendwie widerspricht sich das.
Ich fühle mich mal wieder bestätigt, dass der Wechsel zurück zu Windows der richtige Schritt war! Mit den Sicherheitslücken in Safari verhält es sich ja ähnlich…
@Torben. Keine Angst, das ist normal, das du gerade unter diesem Artikel sowas fühlst – das nennt man „kognitive Dissonanz“ 😉
Apple und Sicherheitlücken gehören eben zusammen wie Fallobst und Wurmbefall.
Diese Scheinlösung mit der Blacklist ist doch ein schlecher PR-Witz von Apple und demonstriert nur deren schlechte Kommunikation.
Genau so gut könnte Apple die Eingangstür offen lassen und darüber ein Schild aufhängen: „Eintritt für bekannte Malware verboten. Diese Tür ist sicher!“ 😉
Der regelmässige FUD. Dieses mal von einer Beraterfirma und nicht wie üblich von einem Antivirus-Hersteller. So schwammig wie möglich formuliert und ohne konkrete Informationen. Gutes Futter für Clickbait, Trolle und Dummköpfe die sich dann auch zahlreich in den Kommentaren einfinden. Die haben ja nichtmal den Attackenvektor verstanden.
Der einzige Job von Gatekeeper ist es, zu prüfen, ob eine heruntergeladene App von einem registrierten Entwickler signiert wurde. Wenn nicht wird die Ausführung verhindert. Gatekeeper kann aber von jedem Benutzer einfach umgangen werden wenn er der Meinung ist daß die App aus einer vertrauenswürdigen Quelle stammt. Schliesslich besorgt sich nicht jeder seine Apps im App Store. Es hat auch nicht jeder Entwickler einen Account von Apple um seine Apps zu signieren.
Die Attacke funktioniert indem ein Alias auf eine ausführbare signierte Datei ABC verweist der schonmal vertraut wurde (welche Datei das ist wird nicht verraten, es handelt sich um irgendein Programm das mit OS X ausgeliefert wird). Die Datei ABC führt dann ein unsigniertes Programm XYZ aus, das sich im gleichen Ordner befindet.
Dem Benutzer muss so ein Package erstmal untergeschoben werden. Überlicherweise sind das vertrauensvolle russische Seiten auf denen es Photoshop für umme gibt.
Jetzt hat er herausgefunden dass seine App XYZ der Blacklist von XProtect hinzugefügt wurde. „Reverse Engineering“ at its best.
@Just Me
Das kann nur Jemand behaupten, der noch nie eine Firma wie Apple von innen gesehen hat. Dort arbeiten mit die besten IT-Wissenschaftler der Welt. OS X ist das sicherste Betriebssystem für PCs.
Haha, immer wieder schön wie Kalle sich verzweifelt um die Verteidigung von Apple bemüht.
Das Quasimodo-Case sei schön, das Nicht-Schlileßen von Lücken nicht so schlimm, bei Apple sei alles perfekt und Fehler machen nur die anderen.
Da scheint jemandem die Wolle ganz schön über die Augen gewachsen zu sein.
@Schafhirte
Wenn du verstehst worum es geht und Argumente hast kannst du gerne an der Diskussion teilnehmen. Sonst bleibst du für mich nur ein jämmerlicher Troll mit ständig wechselndem Namen.
Mit nem Schaf diskutieren, dass egal was als Argument gebracht wird, immer nur Määh sagt?
Sinnlos.