Apple Mac OS X: Gatekeeper lässt sich leicht austricksen

artikel_appleGatekeeper ist eine Sicherheitsfunktion im Apple OS X für Macs, welche Schadsoftware draußen halten soll. Ähnlich wie an mobilen Endgeräten können Nutzer zudem manuell einstellen, dass Gatekeeper beispielsweise die Installation von Software aus allerlei Quellen direkt blockiert. Leider haben Forscher nun herausgefunden, dass sich selbst die strikteste Einstellung relativ leicht austricksen lässt und Malware damit Tür und Tor öffnet.

Beispielsweise lässt sich im Gatekeeper auch einstellen, dass nur Programme gestartet werden können, die aus dem Mac App Store heruntergeladen wurden bzw. von durch Apple zertifizierten Entwicklern stammen. Ein Forscher hat es aber nun geschafft, über eine vertrauenswürdige Binary-Datei die Sicherheitsmechanismen auszuhebeln. Wurde besagte Datei durchgeschleust, kann sie andere, schädliche Dateien ausführen, die im selben Ordner lagern. Über diese Bundles lässt sich Schadsoftware von Keyloggern über Apps die Audio und Video aufzeichnen bis hin zu Botnet-Programmen auf den betroffenen Mac hieven.

Der Leiter der Sicherheits-Forschung der Firma Synack, Patrick Wardle, mahnt, dass der Trick durch eine Lücke im grundsätzlichen Design von Gatekeeper möglich sei: Gatekeeper prüfe die digitale Signierung einer heruntergeladenen App, bevor sie installiert werde. Dadurch stelle man fest, ob das jeweilige Programm aus dem offiziellen App Store bzw. von einem vertrauenswürdigen Entwickler stamme. Doch Programme, die seitens des OS X bereits als sicher eingestuft werden, können dann zweckentfremdet werden, so Wardle:

„Wurde das Programm als sicher eingestuft, weil es aus dem Mac App Store oder von einem vertrauenswürdigen Entwickler stammt, sagt der Gatekeeper im Grunde: ‚Ok, das darf laufen.‘ – dann verabschiedet sich der Gatekeeper sozusagen. Danach wird nicht mehr kontrolliert, was die jeweilige Sofware genau treibt. Sollten also nachträglich schädliche Inhalte aus dem selben Verzeichnis geladen werden, prüft Gatekeeper das nicht mehr nach.“

Um das Procedre auszutesten hat Wardle eine öffentlich verfügbare Binary-Datei hergenommen, die bereits durch Apple signiert wurde. Wenn jene aber ausgeführt wird, startet sie wiederum eine separate Datei aus dem gleichen Verzeichnis. Der Exploit funktioniert so, dass Wardle die erste Binary umbenannt hat, sie aber sonst unverändert belies. Jene verpackte Wardle mit anderen Dateien in ein Apple Disk Image. Weil die Binary-Datei aber bereits durch Apple signiert wurde, winkt Gatekeeper das gute Stück unbesehen durch. Allerdings kann diese Binary-Datei dann nach der Ausführung im selben Ordner nach einer zweiten Binary aus dem Disk Image suchen. Hier hatte Wardle die eigentlich vorgesehene, zweite Binary durch eine manipulierte Datei ausgetauscht, welche unter dem gleichen Dateinamen duchgeschleust wurde. Für die zweite Anhängsel-Datei war keine Überprüfung notwendig. Und schwupps, könnten Angreifer loslegen.

Gatekeeper-bypass-hack-640x360

Laut Wardle gebe es noch weitere, ähnliche Methoden Gatekeeper auszuhebeln. Etwa könne man Installer umbenennen, z. B. von Programmen wie Photoshop, und sie ebenfalls mit Schadsoftware bündeln. Auch hier prüft Gatekeeper nur den Installer und winkt anschließend den Rattenschwanz mit durch. Allerdings ist dieses Procedere auffällig, da die jeweiligen Installer dann auch die ursprünglich vorgesehene Software installieren. Wenn also beispielsweise plötzlich Photoshop auf den Rechner gepackt wurde, obwohl etwas anderes vorgesehen war, dürften die meisten User skeptisch werden und nach anhängender Malware Ausschau halten.

Sicherheitsforscher Wardle warnt, dass es bestimmt noch andere von Apple als vertrauenswürdig eingestufte Binaries gebe, mit denen der Gatekeeper-Exploit möglich sei. Er verschweigt bewusst, welche Binary er entdeckt hat, um nicht unnötig Angreifern noch Möglichkeiten zu eröffnen. Apple ist allerdings bereits informiert und arbeite bereits an einem Fix.

Am Ende ist die Entdeckung natürlich eine Gefahrenquelle, der man sich bewusst sein sollte. Dass jedoch kein Sicherheitsmechanismus, auch Apples Gatekeeper nicht, zu 100 % das System absichern kann, sollte jedem User klar sein. Wichtig ist ein wachsames Auge bei jeder Installation.

(via ArsTechnica)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

6 Kommentare

  1. Ja, ja… die berühmte Apple-Qualität für die man doch so gerne einiges mehr bezahlt 🙂

  2. Laut Meinung vieler Apfelkinder hier müsste wohl Android auf Apple-Geräten installiert sein, damit es zu so etwas überhaupt kommen kann beim unfehlbaren Fallobst.

  3. ist doch egal. der gatekeeper ist so wieso bei jedem ausgeschaltet der etwas mehr am rechner machen möchte. der bringt keine sicherheit. wie soll sich gatekeeper z.b. bitte bei interpretern wie php, ruby und co verhaltet? sobald ich diesem die ausführung erlaube, kann ich auch machen was ich möchte (natürlich im kontext des interpreters). systeme wie gatekeeper sind daher immer nur eine Ergänzung nicht aber DER Schutz.

  4. Der Gatekeeper nervt sowieso. Wer sich seine Viren selber installieren will, schafft das sowieso.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.