Security

In MacOS High Sierra hat Apple einen Prozess abgeschlossen, der bereits mit der Version OS X Mavericks begonnen wurde. Das Unternehmen versucht, Softwareentwickler von der Verwendung eigener Kernel-Extensions abzuhalten, um die Sicherheit und die Stabilität des Betriebssystems zu verbessern.

Stellenmarkt
  1. Data Analyst (m/w/d) im Financial Advisory
    IVC Independent Valuation & Consulting AG, Essen
  2. Software Engineer / Data Analyst (m/w/d)
    Avalution GmbH, Kaiserslautern
Detailsuche

Hat ein Programm einen Speicherfehler, betrifft dieser zunächst nur die Applikation selbst. Greift ein Programm aber auf eine selbst entwickelte Kernel-Extension zurück, kann ein Fehler eine Kernel-Panic auslösen oder den Kernel für Angriffe anfällig machen, wenn die Extension fehlerhaft ist. Bereits in MacOS Sierra mussten Kernel-Extensions mit einem speziellen Apple-Zertifikat für Kernel-Extensions signiert sein, um akzeptiert zu werden.

In MacOS High Sierra müssen Kernel-Erweiterungen, die bei oder nach der Installation des Betriebssystems installiert werden, zusätzlich autorisiert werden, Apple nennt diesen Prozess "Secure Kernel Extension Loading" (SKEL). Dafür sind allerdings keine speziellen Administratorrechte erforderlich, jeder Benutzer kann dies also tun. Ausnahmen gibt es für bereits vor einem Upgrade installierte Kernel-Extensions, bereits zuvor genehmigte Erweiterungen und mit derselben ID signierte Erweiterungen wie bereits genehmigte Extensions.

Nutzer können den gesamten Prozess in der MacOS-Wiederherstellung deaktivieren, indem sie dort den Befehl spctl anwenden. In Mobile-Device-Management-Lösungen (MDM) wird SKEL nach Angaben von Apple automatisch deaktiviert.

Kritik an Umsetzung von SKEL

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    03.–04. Februar 2022, Virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
Weitere IT-Trainings

Der Sicherheitsforscher Patrick Wardle von Synack kritisierte jedoch bereits vor der Veröffentlichung, dass dieser Prozess keinen Sicherheitsgewinn bringen würde. Die "Guten" - gemeint sind Softwareentwickler - würden unnötig Hürden aufgestellt bekommen, während "die Bösen" wie Malware-Entwickler davon nicht betroffen sein würden.

Nach Angaben von Wardle kann der Mechanismus in seiner bestehenden Form leicht umgangen werden. Zwar habe Apple offensichtliche Manipulationen wie die Manipulation der "kext policy"-Datenbank ausgeschlossen. Es sei jedoch weiterhin möglich, signierte Kernel-Module ohne Interaktion der Nutzer zu laden. Vollständige technische Details will Wardle erst veröffentlichen, wenn der Bug gepatcht ist, der Bug wurde Apple bereits gemeldet.

Datenschutz und Privatsphäre

Apple will künftig den Einsatz von Cookies durch Drittparteien strenger regulieren. So können Cookies von Anbietern, die nicht direkt mit einer besuchten Webseite zusammenhängen, nach wenigen Tagen blockiert werden und so weniger Informationen über das Surfverhalten sammeln. Auch hier sollen statistische Werte dabei helfen zu ermitteln, ob Nutzer einer Seite erlauben wollen, Cookies von Drittanbietern zuzulassen oder eher nicht.

Mit MacOS High Sierra und iOS 11 weitet Apple außerdem den Einsatz von Differential Privacy aus. Dabei handelt es sich um eine Forschungsrichtung, die es ermöglichen soll, möglichst viel über einzelne Nutzer zu erfahren, ohne personenbezogene Daten zu erheben. Dazu werden den erhobenen Daten Zufallswerte hinzugefügt, die später wieder entfernt werden, wenn eine große Menge an Daten aggregiert wurde. Dies soll es nicht ermöglichen, Rückschlüsse auf einzelne Personen zu ziehen, aber trotzdem relevante Trends zu erkennen.

In einer ersten Version hatte Apple die Technik eingesetzt, um auf Basis von Tastatureingaben bessere Emojis vorzuschlagen. Jetzt soll die Entwicklung für relevantere Einsatzzwecke genutzt werden, etwa für die Systemstabilität.

Differential Privacy in Safari

Der Einsatz von Differential Privacy erfolgt unter anderem im Safari-Browser. Dort sollen anonym Daten über besuchte Webseiten erhoben werden. Wenn bestimmte Webseiten bei besonders vielen Nutzern Probleme bereiten und zu hoher Systemlast oder Abstürzen führen, könnte Safari bestimmte Skripte an der Ausführung hindern und so die Stabilität und auch die Akkulaufzeit eines Rechners erhöhen. Auf jeden Fall können die Informationen bei der Weiterentwicklung des Browsers helfen und dürften genauere Rückschlüsse zulassen als bisherige Crash-Reports.

Ähnliches gilt für die bei vielen Nutzern ungeliebten Autoplay-Videos, wie sie auf vielen Webseiten vorkommen. Anhand der Messung von Nutzerinterkationen soll High Sierra in der Lage sein, künftig zu erkennen, ob Nutzer auf einer Webseite ein Autoplay-Video erwarten oder nicht. Auch hier könnte die Ausführung entsprechender Videos blockiert werden. Videos ohne Ton sollen weiterhin grundsätzlich abgespielt werden.

Zu erwähnen ist, dass mehrere Wissenschaftler im September Apples Verwendung des Begriffs Differential Privacy kritisiert hatten [PDF]. Sie werfen dem Unternehmen vor, die Bedingungen zur Datenerhebung jederzeit ändern zu können, ohne dass Nutzer das mitbekommen würden. Außerdem bewege Apple sich mit seiner Definition des Begriffs am Rande einer streng wissenschaftlichen Definition, da die Anonymisierung nicht so stark sei wie bei anderen Lösungen. Apple hatte die Studie kritisiert und warf den Wissenschaftlern auch methodische Mängel vor.

TLS ohne SHA-1

Mit High Sierra entfernt Apple außerdem die Unterstützung für die seit langem als unsicher geltenden SHA-1-Zertifikate. Entsprechende Zertifikate können also weder im Browser noch für E-Mails oder andere Dienste genutzt werden.

MacOS High Sierra prüft außerdem einmal in der Woche die Firmware auf dem Rechner. Dabei wird die Hardware-ID des Geräts mit einer Datenbank von Firmwareversionen abgeglichen. Stimmen die Versionen nicht überein, bekommen Nutzer eine Warnung.

Eine der größten Änderungen in High Sierra liegt allerdings im Dateisystem.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 In Deutschland funktioniert Siri mit FlughäfenEinführung in APFS 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11. 10
  12. 11
  13. 12
  14.  


Bachsau 21. Jan 2018

Bevormundet den Benutzer an jeder Ecke und legt Konfigurationen an, die nie gewünscht...

S-Talker 23. Okt 2017

Das ist nichts geringeres als Blasphemie!!!

slead 16. Okt 2017

bei mir ist es kein Mac sondern ein hack....ein mac hack oder hack mac....auch...

Junior-Consultant 16. Okt 2017

JOWOOD! SOLDNER: TOTAL WARS War ein herrliches Bugfest.

Pjörn 14. Okt 2017

Richtig. Die wird über das Zusammenspiel von Gehirn und dem optischen Apparat...



Aktuell auf der Startseite von Golem.de
Microsoft
Sony äußert sich zur Übernahme von Activision Blizzard

Rund 20 Milliarden US-Dollar haben die Aktien von Sony verloren. Nun hat der Konzern erstmals den Kauf von Activision Blizzard kommentiert.

Microsoft: Sony äußert sich zur Übernahme von Activision Blizzard
Artikel
  1. Parallel Systems: Ehemalige SpaceX-Mitarbeiter entwickeln neuartige Güterzüge
    Parallel Systems
    Ehemalige SpaceX-Mitarbeiter entwickeln neuartige Güterzüge

    Das Startup Parallel Systems will konventionelle Züge durch modulare Fahrzeuge mit eigenem Antrieb und Energieversorgung ersetzen.

  2. Instagram: Petfluencer klonen ihre Haustiere
    Instagram
    Petfluencer klonen ihre Haustiere

    Wer mit einem Tier Follower bei Instagram sammelt, steht bei dessen Tod vor dem Nichts. Klonen könnte die Lösung sein, wie das Unternehmen Viagen gemerkt hat.

  3. DNS4EU: EU will eigenen DNS-Resolver mit Netzsperren
    DNS4EU
    EU will eigenen DNS-Resolver mit Netzsperren

    Die Länder und Bürger der EU sollen einen eigenen DNS-Resolver-Dienst bekommen, der auch DNS-Filter und Netzsperren umsetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 & Xbox Series X jetzt bestellbar • LG OLED (2021) 40% günstiger (u.a. 65" 1.599€) • WD Black 1TB SSD 94,90€ • Lenovo Laptops (u.a. 17,3" RTX3080 1.599€) • Gigabyte Mainboard 299,82€ • RTX 3090 2.399€ • RTX 3060 Ti 799€ • MindStar (u.a. 32GB DDR5-6000 389€) • Alternate (u.a. Samsung LED TV 50" 549€) [Werbung]
    •  /