Jetzt auch mobil Kommentieren!

Problem seit Jahren: Mac-Malware nutzt Trick gegen Sicherheits-Apps

Von John Woll am 13.06.2018 19:01 Uhr
17 Kommentare
Seit Jahren besteht in Apples Desktop-Betriebssystem offenbar ein Problem, das es Schadsoftware möglich macht, genau die Programme auszutricksen, die sie entdecken sollten. Mit einer vermeintlichen Apple-Signatur können bösartige Programme bekannte Security-Tools einfach austricksen.

Da stimmt was nicht mit den Apple-Signaturen

Ein Sicherheitsforscher der Firma okta warnt, dass Apples Code-Signing-Schnittstelle bei beliebten Sicherheits-Anwendungen für das Apple-Betriebssystem MacOS oft nur unzureichend implementiert ist. Wie der Experte erläutert und im Rahmen seiner Veröffentlichung an einem Proof-of-Concept-Angriff zeigt, sorgt dies dafür, dass Schadprogramme sich mit einer vermeintlichen Apple-Signatur tarnen und so die Anwendungen austricksen können, die sie eigentlich aufhalten sollten. Besonders problematisch: Das Problem besteht offenbar seit 11 Jahren.


Laut okta haben bereits mehrere Hersteller Updates bereitgestellt, die die Lücke schließen sollen, wie der Forscher aber betont, ist nicht auszuschließen, dass weitere Programme dieser Art von dem Problem betroffen sind. Neben dem beliebten Netzwerkmonitoringtool Little Snitch listet der Forscher folgende Programme als betroffen: VirusTotal, Google Santa, Facebooks OSQuery, F-Secures xFence, OSXCollector, Carbon Blacks Cb Response sowie KnockKnock, WhatsYourSign und LuLu - Letztere stammen alle vom bekannten Sicherheitsforscher Patrick Wardle.

Kein Fehler im Apple-Code

Wie Wardle in einem Interview mit Ars Technica erläutert, bestand das Problem nicht darin, dass "eine Schwachstelle oder einen Bug in Apples Code" zu finden sei. Vielmehr habe eine "unklare Dokumentation" dazu geführt, dass Dritte die Code-Signing-Schnittstelle über mehr als ein Jahrzehnt hinweg falsch implementiert hatten. Die Schnittstelle war von Apple im Jahr 2007 mit der Veröffentlichung von Mac OS X 10.5 Leopard eingeführt worden, im Februar 2018 hatte sich okta mit seinen Erkenntnissen an das Unternehmen gewandt. Apple hatte nach diesen Informationen dann die Entwickler-Dokumentation zur Code-Signing-API überarbeitet. Allerdings betonte der Konzern, dass es sich hier um eine Sicherheitslücke handle, die man "nicht direkt adressieren" könne, Dritt-Entwickler "müssen die zusätzliche Arbeit machen".
whatsapp
Jede Woche neu: Top-News per E-Mail
17 Kommentare lesen & antworten
Verwandte Themen
MacOS
Hoch © 2000 - 2018 WinFuture Impressum Datenschutz