Anzeige
Mac OS X bietet nur unzureichenden Schutz gegen Malware.
Mac OS X bietet nur unzureichenden Schutz gegen Malware. (Bild: Patrick Wardle)

Malware: Apples Schutzmechanismen sind nahezu wirkungslos

Mac OS X bietet nur unzureichenden Schutz gegen Malware.
Mac OS X bietet nur unzureichenden Schutz gegen Malware. (Bild: Patrick Wardle)

Weder die in Apples OS X integrierten Schutzmechanismen noch Antivirensoftware verhindern effektiv die Installation oder Ausführung von Malware. Das demonstrierte ein IT-Sicherheitsexperte.

Anzeige

Gatekeeper, XProtect, die Sandbox oder signierte Applikationen: Sie alle sind nahezu wirkungslos gegen Malware. Das demonstrierte der IT-Sicherheitsforscher Patrick Wardle in seinem Vortrag auf der RSA-Konferenz 2015 in San Francisco. Auch gängige Antivirensoftware für Mac OS X verhindert seinen Analysen zufolge keine Infektion. Nicht eine der von ihm überprüften Lösungen habe seine selbstprogrammierte Malware erkannt. Angreifer benötigen aber meist Root-Rechte.

Wardle, der für den Unternehmensberater Synack arbeitet, weist darauf hin, dass Mac OS X mit zunehmender Verbreitung ein immer beliebteres Angriffsziel für Malware-Programmierer wird.

Er machte einige Schwächen etwa bei Gatekeeper aus: Es teste nur, ob eine Anwendung aus einer vertrauenswürdigen Quelle stammt, etwa dem App-Store. Ob eine Anwendung modifiziert wurde, kann Gatekeeper nicht feststellen. Gatekeeper überprüft auch nicht, ob eine Anwendung zusätzlichen Code in das System einschleust.

Kaum Schutz durch Systemwerkzeuge

XProtect soll eigentlich anhand eines Hashwerts erkennen, ob es sich um eine legitime Anwendung oder um Malware handelt. Wardle benannte eine bereits bekannte Malware kurzerhand um und überlistete Xprotect damit problemlos.

Auch die Überprüfung der Codesignaturen sei unzuverlässig, sagte Wardle. Solche Signaturen können ohne weiteres entfernt werden, etwa mit einem einfachen Python-Skript. Ohne Signatur wird die Anwendung dennoch gestartet, auch wenn sie zuvor mehrfach mit einer gültigen Signatur aufgerufen wurde. Der Kext-Daemon des Systems, der Signaturen von Kernel-Erweiterungen überprüfen soll, kann mit einfachen Benutzerrechten so manipuliert werden, dass eine Überprüfung wegfällt. Wird er beendet, fällt eine Überprüfung ebenfalls weg, Anwendungen lassen sich dennoch starten.

Auch die Sandbox von Mac OS X, in der Anwendungen in einer isolierten Umgebung laufen sollen, sei anfällig, sagte Wardle. Sie laufe zwar stabil, habe aber etliche Schwachstellen, die es einer Anwendung erlauben, aus der Sandbox auszubrechen. In Googles Project Zero wurden bereits 20 solcher Schwachstellen gelistet.

Kostenlose Werkzeuge sollen helfen

Im Internet kursiere bereits zahlreiche Malware wie Callme, Crisis, Kitmos oder Yontoo, die mit gültigen Entwicklerzertifikaten versehen sind, so Wardle. Eine ähnliche Vorgehensweise wurde im November 2014 unter dem Namen Masque Attack bekannt. Dabei wurden unter anderem Plugins für Spotlight oder Cronjobs genutzt, um Malware nachhaltig im System zu installieren. Allerdings benötigen die meisten Angriffe Root-Rechte, etwa durch die nur teilweise behobene Rootpipe-Schwachstelle, wie Wardle in seinem Video demonstrierte.

Wardle hat zwei kostenlose Werkzeuge bereitgestellt, die Nutzern helfen sollen, mögliche Schadsoftware zu entdecken. Knock Knock sendet Hashwerte aller gestarteten Dateien an Virus Total und benachrichtigt den Anwender so bei möglichen Gefahren. Block Block meldet, wenn ein Prozess versucht, auf eine Stelle im System zuzugreifen, das bekanntermaßen von Malware ausgenutzt wird.


eye home zur Startseite
Leo K. 29. Apr 2015

Was ist denn das fuer ne idiotische Aussage? Es ist absurd eine Statistik so anzugehen...

( Alternativ... 28. Apr 2015

.... für die meisten erfolgreichen Angriffe wird der Originalschlüssel benötigt ...

Baron Münchhausen. 28. Apr 2015

Für einen derart harten Schlag braucht man judo!

hw75 27. Apr 2015

Die Sache ist hier nicht nur, dass das Sicherheitsschloss geknackt wurde, sondern im...

blackout23 27. Apr 2015

Hat schon jemand einen Steve Jobs Ultras Fanclub gegründet?

Kommentieren



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. SYNLAB Holding Deutschland GmbH, Augsburg
  3. Landesbetrieb IT.Niedersachsen, Hannover
  4. redcoon Logistics GmbH, Erfurt


Anzeige
Top-Angebote
  1. ab 219,00€
  2. (u. a. Core i7-6700K, i5-6600K, i7-5820K)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von SAS Institute
  2. Mehr dazu im aktuellen Whitepaper von Cyberark
  3. Mehr dazu im aktuellen Whitepaper von HP


  1. Netzausbau

    Telekom will ihre Mobilfunkmasten verkaufen

  2. Bruno Kahl

    Neuer BND-Chef soll den Dienst reformieren

  3. Onlinehandel

    Amazon sperrt Konten angeblich nur in seltenen Fällen

  4. The Assembly angespielt

    Verschwörung im Labor

  5. Kreditkarten

    Number26 wird Betrug mit Standortdaten verhindern

  6. Dobrindt

    1,3 Milliarden Euro mehr für Breitbandausbau in Deutschland

  7. Mini ITX OC

    Gigabyte bringt eine 17 cm kurze Geforce GTX 1070

  8. Autonomes Fahren

    Teslas Autopilot war an tödlichem Unfall beteiligt

  9. Tolino Page

    Günstiger Kindle-Konkurrent hat eine bessere Ausstattung

  10. Nexus

    Erste Nougat-Smartphones sollen von HTC kommen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Geforce GTX 1080/1070 im Test: Zotac kann Geforce besser als Nvidia
Geforce GTX 1080/1070 im Test
Zotac kann Geforce besser als Nvidia
  1. Die Woche im Video Superschnelle Rechner, smarte Zähler und sicherer Spam
  2. Geforce GTX 1080/1070 Asus und MSI schummeln mit Golden Samples
  3. Geforce GTX 1070 Nvidia nennt Spezifikationen der kleinen Pascal-Karte

IT und Energiewende: Fragen und Antworten zu intelligenten Stromzählern
IT und Energiewende
Fragen und Antworten zu intelligenten Stromzählern
  1. Smart Meter Bundestag verordnet allen Haushalten moderne Stromzähler
  2. Intelligente Stromzähler Besitzern von Solaranlagen droht ebenfalls Zwangsanschluss
  3. Smart-Meter-Gateway-Anhörung Stromsparen geht auch anders

Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Darknet-Handel Nutzerdaten von Telekom-Kunden werden verkauft
  2. Security Ransomware-Bosse verdienen 90.000 US-Dollar pro Jahr
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

  1. Re: Kurzfristig! Jetzt! Geld!

    plutoniumsulfat | 22:30

  2. Re: Wo ist eigentlich das Problem?

    trundle | 22:29

  3. Re: Mal ein paar Infos von einem FBA Verkäufer.

    sydthe | 22:27

  4. Re: Wäre nett gewesen, aber

    sofries | 22:26

  5. Re: Schade

    The_Soap92 | 22:26


  1. 20:04

  2. 17:04

  3. 16:53

  4. 16:22

  5. 14:58

  6. 14:33

  7. 14:22

  8. 13:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel