• IT-Karriere:
  • Services:

Security

In MacOS High Sierra hat Apple einen Prozess abgeschlossen, der bereits mit der Version OS X Mavericks begonnen wurde. Das Unternehmen versucht, Softwareentwickler von der Verwendung eigener Kernel-Extensions abzuhalten, um die Sicherheit und die Stabilität des Betriebssystems zu verbessern.

Stellenmarkt
  1. JAM Software GmbH, Trier
  2. Schwarz Dienstleistung KG, Raum Neckarsulm

Hat ein Programm einen Speicherfehler, betrifft dieser zunächst nur die Applikation selbst. Greift ein Programm aber auf eine selbst entwickelte Kernel-Extension zurück, kann ein Fehler eine Kernel-Panic auslösen oder den Kernel für Angriffe anfällig machen, wenn die Extension fehlerhaft ist. Bereits in MacOS Sierra mussten Kernel-Extensions mit einem speziellen Apple-Zertifikat für Kernel-Extensions signiert sein, um akzeptiert zu werden.

In MacOS High Sierra müssen Kernel-Erweiterungen, die bei oder nach der Installation des Betriebssystems installiert werden, zusätzlich autorisiert werden, Apple nennt diesen Prozess "Secure Kernel Extension Loading" (SKEL). Dafür sind allerdings keine speziellen Administratorrechte erforderlich, jeder Benutzer kann dies also tun. Ausnahmen gibt es für bereits vor einem Upgrade installierte Kernel-Extensions, bereits zuvor genehmigte Erweiterungen und mit derselben ID signierte Erweiterungen wie bereits genehmigte Extensions.

Nutzer können den gesamten Prozess in der MacOS-Wiederherstellung deaktivieren, indem sie dort den Befehl spctl anwenden. In Mobile-Device-Management-Lösungen (MDM) wird SKEL nach Angaben von Apple automatisch deaktiviert.

Kritik an Umsetzung von SKEL

Der Sicherheitsforscher Patrick Wardle von Synack kritisierte jedoch bereits vor der Veröffentlichung, dass dieser Prozess keinen Sicherheitsgewinn bringen würde. Die "Guten" - gemeint sind Softwareentwickler - würden unnötig Hürden aufgestellt bekommen, während "die Bösen" wie Malware-Entwickler davon nicht betroffen sein würden.

Nach Angaben von Wardle kann der Mechanismus in seiner bestehenden Form leicht umgangen werden. Zwar habe Apple offensichtliche Manipulationen wie die Manipulation der "kext policy"-Datenbank ausgeschlossen. Es sei jedoch weiterhin möglich, signierte Kernel-Module ohne Interaktion der Nutzer zu laden. Vollständige technische Details will Wardle erst veröffentlichen, wenn der Bug gepatcht ist, der Bug wurde Apple bereits gemeldet.

Datenschutz und Privatsphäre

Apple will künftig den Einsatz von Cookies durch Drittparteien strenger regulieren. So können Cookies von Anbietern, die nicht direkt mit einer besuchten Webseite zusammenhängen, nach wenigen Tagen blockiert werden und so weniger Informationen über das Surfverhalten sammeln. Auch hier sollen statistische Werte dabei helfen zu ermitteln, ob Nutzer einer Seite erlauben wollen, Cookies von Drittanbietern zuzulassen oder eher nicht.

Mit MacOS High Sierra und iOS 11 weitet Apple außerdem den Einsatz von Differential Privacy aus. Dabei handelt es sich um eine Forschungsrichtung, die es ermöglichen soll, möglichst viel über einzelne Nutzer zu erfahren, ohne personenbezogene Daten zu erheben. Dazu werden den erhobenen Daten Zufallswerte hinzugefügt, die später wieder entfernt werden, wenn eine große Menge an Daten aggregiert wurde. Dies soll es nicht ermöglichen, Rückschlüsse auf einzelne Personen zu ziehen, aber trotzdem relevante Trends zu erkennen.

In einer ersten Version hatte Apple die Technik eingesetzt, um auf Basis von Tastatureingaben bessere Emojis vorzuschlagen. Jetzt soll die Entwicklung für relevantere Einsatzzwecke genutzt werden, etwa für die Systemstabilität.

Differential Privacy in Safari

Der Einsatz von Differential Privacy erfolgt unter anderem im Safari-Browser. Dort sollen anonym Daten über besuchte Webseiten erhoben werden. Wenn bestimmte Webseiten bei besonders vielen Nutzern Probleme bereiten und zu hoher Systemlast oder Abstürzen führen, könnte Safari bestimmte Skripte an der Ausführung hindern und so die Stabilität und auch die Akkulaufzeit eines Rechners erhöhen. Auf jeden Fall können die Informationen bei der Weiterentwicklung des Browsers helfen und dürften genauere Rückschlüsse zulassen als bisherige Crash-Reports.

Ähnliches gilt für die bei vielen Nutzern ungeliebten Autoplay-Videos, wie sie auf vielen Webseiten vorkommen. Anhand der Messung von Nutzerinterkationen soll High Sierra in der Lage sein, künftig zu erkennen, ob Nutzer auf einer Webseite ein Autoplay-Video erwarten oder nicht. Auch hier könnte die Ausführung entsprechender Videos blockiert werden. Videos ohne Ton sollen weiterhin grundsätzlich abgespielt werden.

Zu erwähnen ist, dass mehrere Wissenschaftler im September Apples Verwendung des Begriffs Differential Privacy kritisiert hatten [PDF]. Sie werfen dem Unternehmen vor, die Bedingungen zur Datenerhebung jederzeit ändern zu können, ohne dass Nutzer das mitbekommen würden. Außerdem bewege Apple sich mit seiner Definition des Begriffs am Rande einer streng wissenschaftlichen Definition, da die Anonymisierung nicht so stark sei wie bei anderen Lösungen. Apple hatte die Studie kritisiert und warf den Wissenschaftlern auch methodische Mängel vor.

TLS ohne SHA-1

Mit High Sierra entfernt Apple außerdem die Unterstützung für die seit langem als unsicher geltenden SHA-1-Zertifikate. Entsprechende Zertifikate können also weder im Browser noch für E-Mails oder andere Dienste genutzt werden.

MacOS High Sierra prüft außerdem einmal in der Woche die Firmware auf dem Rechner. Dabei wird die Hardware-ID des Geräts mit einer Datenbank von Firmwareversionen abgeglichen. Stimmen die Versionen nicht überein, bekommen Nutzer eine Warnung.

Eine der größten Änderungen in High Sierra liegt allerdings im Dateisystem.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 In Deutschland funktioniert Siri mit FlughäfenEinführung in APFS 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11. 10
  12. 11
  13. 12
  14.  


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 4,99€
  3. 20,99€

Bachsau 21. Jan 2018

Bevormundet den Benutzer an jeder Ecke und legt Konfigurationen an, die nie gewünscht...

S-Talker 23. Okt 2017

Das ist nichts geringeres als Blasphemie!!!

slead 16. Okt 2017

bei mir ist es kein Mac sondern ein hack....ein mac hack oder hack mac....auch...

Junior-Consultant 16. Okt 2017

JOWOOD! SOLDNER: TOTAL WARS War ein herrliches Bugfest.

Pjörn 14. Okt 2017

Richtig. Die wird über das Zusammenspiel von Gehirn und dem optischen Apparat...


Folgen Sie uns
       


Elektrifizierte Tiefgarage von Netze BW angesehen

Wir haben uns ein Testprojekt für eine elektrifizierte Tiefgarage im baden-württembergischen Tamm zeigen lassen.

Elektrifizierte Tiefgarage von Netze BW angesehen Video aufrufen
In eigener Sache: Die offiziellen Golem-PCs sind da
In eigener Sache
Die offiziellen Golem-PCs sind da

Leise, schnell, aufrüstbar: Golem.de bietet erstmals eigene PCs für Kreative und Spieler an. Alle Systeme werden von der Redaktion konfiguriert und getestet, der Bau und Vertrieb erfolgen über den Partner Alternate.

  1. In eigener Sache Was 2019 bei Golem.de los war
  2. In eigener Sache Golem.de sucht Produktmanager/Affiliate (m/w/d)
  3. In eigener Sache Aktiv werden für Golem.de

Akkutechnik: In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus
Akkutechnik
In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus

In unserer Artikelserie zu Akku-FAQs geht es diesmal um bessere Akkus, um mehr Akkus und um Akkus ohne seltene Rohstoffe. Den Wunderakku, der alles kann, den gibt es leider nicht. Mit Energiespeichern ohne Akku beschäftigen wir uns später in Teil 2 dieses Artikels.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos BASF baut Kathodenfabrik in Brandenburg
  2. Joint Venture Panasonic und Toyota bauen prismatische Zellen für E-Autos
  3. Elektromobilität EU-Kommission genehmigt europäisches Batterieprojekt

Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

    •  /