Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Gatekeeper: Apples Sicherheitstechnologie lässt sich einfach austricksen

Apples Sicherheitsmechanismus Gatekeeper soll die Ausführung von Schadcode verhindern. Doch ein jetzt vorgestellter Angriff umgeht die Prüfung mit einfachen Mitteln.
/ Hauke Gierow
10 Kommentare News folgen (öffnet im neuen Fenster)
Patrick Wardle hat einen weiteren Angriff auf Apples Gatekeeper-Software vorgestellt. (Bild: Patrick Wardle)
Patrick Wardle hat einen weiteren Angriff auf Apples Gatekeeper-Software vorgestellt. Bild: Patrick Wardle

Ein neu entdeckter Angriff nutzt mehrere Designschwächen von Apples Sicherheitsprogramm Gatekeeper aus. Gatekeeper wurde in der OSX Version 10.75 Mountain Lion von Apple eingeführt und soll das Betriebssystem vor Malware und manipulierten Apps schützen. Der Sicherheitsforscher Patrick Wardle(öffnet im neuen Fenster) zeigt nun, wie sich Gatekeeper mit einfachen Mitteln austricksen lässt.

Das System prüft nur beim Start, ob Apps tatsächlich mit einem vertrauenswürdigen Zertifikat signiert sind. Ob das Programm nach dem Start weiteren Code ausführt, wird nicht geprüft. Außerdem werden nur Applikationen geprüft, die vom Nutzer manuell gestartet werden. Ruft also ein vom Nutzer gestartetes Programm eine weitere Applikation auf, wird diese von Gatekeeper nicht überprüft.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT Business Partner (d/w/m) Industrie- und Handelsunion Dr. Wolfgang Boettger GmbH & Co. KG, Berlin,Homeoffice (öffnet im neuen Fenster)
IT Operations Engineer - Schwerpunkt Microsoft 365 (m/w) Thomas GmbH, Herdorf (öffnet im neuen Fenster)
Gruppenleitung Herstellung / Team Lead Media Production (m/w/d) DG Nexolution eG, Wiesbaden (öffnet im neuen Fenster)
Senior Controller (m/w/d) mit Schwerpunkt Finanzen und Controlling Rhein-Main-Verkehrsverbund Servicegesellschaft mbH, Frankfurt/Main (öffnet im neuen Fenster)
Customer Solutions (Senior) / Key Account Management (Senior) / Sales Management (Senior) - Colocation Services (w/m/d) IPB Internet Provider in Berlin GmbH, Berlin (öffnet im neuen Fenster)
IT- und Security Administrator/in (m/w/d) Meyer Seals Alfelder Kunststoffwerke Herm. Meyer GmbH, Alfeld (Leine) (öffnet im neuen Fenster)
IT Systemadministrator (m/w/d) POS TUNING GmbH, Bad Salzuflen (öffnet im neuen Fenster)
Application Manager - Schwerpunkt Mosaik (m/w/d) - Remote Artus Gesellschaft für Brand- und Wasserschadensanierung mbH, Isernhagen (öffnet im neuen Fenster)

Wardle war nun in der Lage, mit Hilfe einer von Apple signierten Binary eine weitere, manipulierte Binary aufzurufen. Auf Bitten von Apple nennt er den Namen dieser Binaries nicht, sondern bezeichnet sie nur mit A und B. Um den Exploit erfolgreich durchzuführen, benennt er Binary A um, ohne weitere Änderungen an der Datei vorzunehmen. Weil die Datei eine korrekte Signatur von Apple aufweist, genehmigt Gatekeeper die Ausführung ohne weitere Prüfung.

Binaries werden in ein Disk-Image gepackt

Die Binary hat Wardle in ein Apple-Disk-Image gepackt, in dem auch die zweite für den Angriff nötige Datei enthalten ist. Diese Datei wiederum enthält Schadcode. Nachdem Binary A ausgeführt und durch Gatekeeper geprüft wurde, führt sie die zweite Datei aus. Binary B kann dann ohne weitere Prüfung jegliche Software auf dem Gerät installieren.

Laut Wardle gibt es weitere Wege, um Gatekeeper zu umgehen. Angreifer könnten legitime Apps wie zum Beispiel Photoshop mit infizierten Plugins bündeln, die dann von dem Programm automatisch geöffnet werden. Auch hier würde Gatekeeper nur die zuerst ausgeführte App prüfen. Wardle hat bereits früher über Sicherheitslücken in Apples Schutzmechanismen gesprochen.

Wir haben Apple um ein Statement gebeten.

Zur Startseite 10 Kommentare

Relevante Themen

Technik/HardwarePC & NotebooksSoftwareBetriebssystemeSecurityCybercrimeDatensicherheitVirus