Apples OS-X-Sicherheit soll problemlos umgehbar sein

(Bild: Patrick Wardle/Synack)

Apple hat in OS X mit Gatekeeper und XProtect zwei Anwendungen eingebaut, die Nutzer vor Schaden bewahren sollen, doch das tun sie nach Sngaben von Patrick Wardle, Director of Research bei Synack nicht. Das hat der Forscher auf der RSA-Konferenz in San Francisco demonstriert.

Die in OS X eingebauten Sicherheits-Tools sollen sich umgehen lassen, um Malware auszuführen. Das hat Patrick Wardle in einem PDF dokumentiert. “Für einen Angreifer ist das Umgehen der Sicherheits-Tools eines Macs etwas alltägliches”, sagte Wardle einem Bericht von ThreatPost zufolge. “Wenn Macs absolut sicher wären, würde ich nicht diesen Vortrag halten.”

Bei der Security Software handelt es sich um Apples Gatekeeper und XProtect. Letzteres ist der seit OS X 10.6. Snow Leopard enthaltene signaturenbasierte Malwareschutz. Er blockiert bestimmte Apps und Plug-ins, die als Schadsoftware bekannt sind.

Gatekeeper wiederum hatte Apple 2012 mit OS X 10.8 Mountain Lion eingeführt. Das Tool fungiert wie ein “Torwächter” und soll verhindern, dass Nutzer “unwissentlich bösartige Software herunterladen und installieren”. Laut Wardle prüft Gatekeeper eine App aber nicht kontinuierlich. “Wenn ich also eine von Apple genehmigte App nehme und sie dazu bringe, externe Inhalte zu laden, wenn sie vom Nutzer ausgeführt wird, dann umgeht sie Gatekeeper”, erklärte Wardle.

XProtect lasse sich durch ein erneutes Kompilieren einer Malware, wodurch sich deren Hash-Wert ändere, oder auch einfaches Umbenennen austricksen, so Wardle weiter. Die Sandbox-Funktion von XProtect sei zwar “effektiv”, sie könne aber durch mehrere bekannte Kernel-Schwachstellen umgangen werden. Auch gängige Antiviren-Lösungen für den Mac sind Wardle zufolge nicht in der Lage, Schadsoftware effektiv abzuwehren. Ein von ihm entwickelte Demo-Malware, die kontinuerlich Daten an einen bestimmten Server sendet, wurde von keinem der mehr als zehn getesteten Sicherheitslösungen erkannt. Mac-Nutzern empfielt der Sicherheitsspezialist die Verwendung seiner kostenlosen Tools KnockKnock und BlockBlock. Ersteres sendet zur Überprüfung die Hashwerte aller automatisch gestarteten Programme an VirusTotal. Der Hintergrunddienst Block Block überwacht die von bekannter Malware genutzten Stellen im System und alarmiert den Nutzer, sobald diese von einer Software genutzt werden.

Malware für Apples Desktop-Betriebssystem ist zwar sehr selten, Hacker nehmen aber immer wieder auch OS-X-Nutzer ins Visier. Ende vergangenen Jahres wurde beispielsweise eine WireLurker genannte Schadsoftware über einen chinesischen App Store verbreitet. Sie wurde benutzt, um iOS-Geräte zu infizieren, was laut Untersuchungen von Palo Alto Networks auch mit nicht-gejailbreakten iPhones möglich war. Da dies zuvor nur mit entsperrten Geräten möglich war, sprach das Unternehmen sogar von einer ‘neuen Ära von iOS-Malware’.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Tags :Quellen:Mit Material von Stefan Beiersmann, ZDnet.deVia:ZDNet.com

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising