Abo
  • Services:
Anzeige
Mac OS X bietet nur unzureichenden Schutz gegen Malware.
Mac OS X bietet nur unzureichenden Schutz gegen Malware. (Bild: Patrick Wardle)

Malware: Apples Schutzmechanismen sind nahezu wirkungslos

Mac OS X bietet nur unzureichenden Schutz gegen Malware.
Mac OS X bietet nur unzureichenden Schutz gegen Malware. (Bild: Patrick Wardle)

Weder die in Apples OS X integrierten Schutzmechanismen noch Antivirensoftware verhindern effektiv die Installation oder Ausführung von Malware. Das demonstrierte ein IT-Sicherheitsexperte.

Anzeige

Gatekeeper, XProtect, die Sandbox oder signierte Applikationen: Sie alle sind nahezu wirkungslos gegen Malware. Das demonstrierte der IT-Sicherheitsforscher Patrick Wardle in seinem Vortrag auf der RSA-Konferenz 2015 in San Francisco. Auch gängige Antivirensoftware für Mac OS X verhindert seinen Analysen zufolge keine Infektion. Nicht eine der von ihm überprüften Lösungen habe seine selbstprogrammierte Malware erkannt. Angreifer benötigen aber meist Root-Rechte.

Wardle, der für den Unternehmensberater Synack arbeitet, weist darauf hin, dass Mac OS X mit zunehmender Verbreitung ein immer beliebteres Angriffsziel für Malware-Programmierer wird.

Er machte einige Schwächen etwa bei Gatekeeper aus: Es teste nur, ob eine Anwendung aus einer vertrauenswürdigen Quelle stammt, etwa dem App-Store. Ob eine Anwendung modifiziert wurde, kann Gatekeeper nicht feststellen. Gatekeeper überprüft auch nicht, ob eine Anwendung zusätzlichen Code in das System einschleust.

Kaum Schutz durch Systemwerkzeuge

XProtect soll eigentlich anhand eines Hashwerts erkennen, ob es sich um eine legitime Anwendung oder um Malware handelt. Wardle benannte eine bereits bekannte Malware kurzerhand um und überlistete Xprotect damit problemlos.

Auch die Überprüfung der Codesignaturen sei unzuverlässig, sagte Wardle. Solche Signaturen können ohne weiteres entfernt werden, etwa mit einem einfachen Python-Skript. Ohne Signatur wird die Anwendung dennoch gestartet, auch wenn sie zuvor mehrfach mit einer gültigen Signatur aufgerufen wurde. Der Kext-Daemon des Systems, der Signaturen von Kernel-Erweiterungen überprüfen soll, kann mit einfachen Benutzerrechten so manipuliert werden, dass eine Überprüfung wegfällt. Wird er beendet, fällt eine Überprüfung ebenfalls weg, Anwendungen lassen sich dennoch starten.

Auch die Sandbox von Mac OS X, in der Anwendungen in einer isolierten Umgebung laufen sollen, sei anfällig, sagte Wardle. Sie laufe zwar stabil, habe aber etliche Schwachstellen, die es einer Anwendung erlauben, aus der Sandbox auszubrechen. In Googles Project Zero wurden bereits 20 solcher Schwachstellen gelistet.

Kostenlose Werkzeuge sollen helfen

Im Internet kursiere bereits zahlreiche Malware wie Callme, Crisis, Kitmos oder Yontoo, die mit gültigen Entwicklerzertifikaten versehen sind, so Wardle. Eine ähnliche Vorgehensweise wurde im November 2014 unter dem Namen Masque Attack bekannt. Dabei wurden unter anderem Plugins für Spotlight oder Cronjobs genutzt, um Malware nachhaltig im System zu installieren. Allerdings benötigen die meisten Angriffe Root-Rechte, etwa durch die nur teilweise behobene Rootpipe-Schwachstelle, wie Wardle in seinem Video demonstrierte.

Wardle hat zwei kostenlose Werkzeuge bereitgestellt, die Nutzern helfen sollen, mögliche Schadsoftware zu entdecken. Knock Knock sendet Hashwerte aller gestarteten Dateien an Virus Total und benachrichtigt den Anwender so bei möglichen Gefahren. Block Block meldet, wenn ein Prozess versucht, auf eine Stelle im System zuzugreifen, das bekanntermaßen von Malware ausgenutzt wird.


eye home zur Startseite
Leo K. 29. Apr 2015

Was ist denn das fuer ne idiotische Aussage? Es ist absurd eine Statistik so anzugehen...

( Alternativ... 28. Apr 2015

.... für die meisten erfolgreichen Angriffe wird der Originalschlüssel benötigt ...

Baron Münchhausen. 28. Apr 2015

Für einen derart harten Schlag braucht man judo!

hw75 27. Apr 2015

Die Sache ist hier nicht nur, dass das Sicherheitsschloss geknackt wurde, sondern im...

blackout23 27. Apr 2015

Hat schon jemand einen Steve Jobs Ultras Fanclub gegründet?



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. DAKOSY Datenkommunikationssystem AG, Hamburg
  3. AKDB, München
  4. PiSA sales GmbH, Berlin


Anzeige
Top-Angebote
  1. 349€ (bitte nach unten scrollen)
  2. (heute u. a. Nintendo Switch Bundles, Sony UHD-TVs, Amazon Echo Dot + Megaboom Lautsprecher für...
  3. 149€ + 5,99€ Versand

Folgen Sie uns
       


  1. GTA 5

    Goldener Revolver für Red Dead Redemption 2 versteckt

  2. Geldwäsche

    EU will den Bitcoin weniger anonym machen

  3. Soziale Medien

    Facebook-Forscher finden Facebook problematisch

  4. Streit um Stream On

    Die Telekom spielt das Uber-Spiel

  5. US-Verteidigungsministerium

    Pentagon forschte jahrelang heimlich nach Ufos

  6. Age of Empires (1997)

    Mit sanftem "Wololo" durch die Antike

  7. Augmented Reality

    Google stellt Project Tango ein

  8. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  9. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  10. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Twitch, Youtube Gaming und Mixer: Weltweites Aufmerksamkeitsdefizit
Twitch, Youtube Gaming und Mixer
Weltweites Aufmerksamkeitsdefizit
  1. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  2. Roboter Megabots kündigt Video vom Roboterkampf an
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Umrüstung: Wie der Elektromotor in den Diesel-Lkw kommt
Umrüstung
Wie der Elektromotor in den Diesel-Lkw kommt
  1. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor
  2. LEVC London bekommt Elektrotaxis mit Range Extender
  3. Vehicle-to-Grid Honda macht Elektroautos zu Stromnetz-Puffern

Watch Series 3 im Praxistest: So hätte Apples erste Smartwatch sein müssen
Watch Series 3 im Praxistest
So hätte Apples erste Smartwatch sein müssen
  1. Apple Watch Apple veröffentlicht WatchOS 4.2
  2. Alivecor Kardiaband Uhrenarmband für Apple Watch zeichnet EKG auf
  3. Smartwatch Die Apple Watch lieber nicht nach dem Wetter fragen

  1. Prorussische Fakenews

    Crass Spektakel | 05:59

  2. Re: Technisch gesehen

    Crass Spektakel | 05:44

  3. Absolut keine Ahnung...

    Crass Spektakel | 05:39

  4. Re: Einfach aufhören

    User_x | 05:03

  5. Re: Scheissteil

    AIM-9 Sidewinder | 04:53


  1. 14:17

  2. 13:34

  3. 12:33

  4. 11:38

  5. 10:34

  6. 08:00

  7. 12:47

  8. 11:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel