Die kleinen Helfer-Programme machen die Tür auf für Malware
"Privileged Helper Tools" sind in macOS eigentlich dafür vorgesehen, es Apps möglich zu machen, für einmal vom Nutzer abgesegnete Aktionen wie das Erstellen von Backups Root-Rechte bereitzustellen. Jetzt warnt aber Objective Development, Entwickler der Sicherheitssoftware Little Snitch, vor einem groben Fehler in dem System. Oft fehle es an der richtigen Absicherung der Helper Tools, dies mache es nach Infizierung mit Malware leicht, das diese den Rechner übernimmt.In macOS Catalina gibt es viel Neues zu entdecken
Aufgefallen war das unerwünschte Verhalten mit den Software-Vermittlern laut Bericht von heise dabei bei einer eigenen Code-Review. Die Feststellung: Das eigene Helper Tool hatte sich von lokaler Software dazu ausnutzen lassen, Zugriff auf Root-Rechte zu erlangen - in Little Snitch wurde dieser Fehler mit einem Patch bereits im Juli behoben.
Den Entwicklern war bei der Überprüfung aber dann schnell aufgefallen, dass das Problem wohl im Zusammenspiel mit einer Vielzahl anderer Programme auftritt. Eine mangelhafte Dokumentation seitens Apple und unschlüssige Umsetzungs-Empfehlungen in der Online-Community hätten Objective Development dann zu einer weiterführenden Analyse animiert.
Entwickler schnell getäuscht
Das Ergebnis: Für Entwickler sei es nur sehr schwer zu erkennen, dass die eigenen Helper Tools auch abseits der vorgesehenen Software angesprochen werden können. Genau diese "globale Ansprechbarkeit" sei aber eben über die sogenannten XPC-Services in macOS gegeben. Die Folge: Ist keine gezielte Absicherung zu Autorisierung vorgesehen, kann prinzipiell jedes Programm zugreifen.Jetzt liefert Objective Development Details, wie Software auf den entsprechend anfälligen Code hin überprüft werden kann. Darüber hinaus empfehlen die Experten Nutzern von macOS, selbst aktiv zu werden. Im Verzeichnis "/Library/PrivilegedHelperTools" kann überprüft werden, ob Tools aufgelistet werden, die nicht mehr benötigt werden. Ist keine konkrete Zuordnung möglich, wird die Löschung empfohlen.