Malware: Apples Schutzmechanismen sind nahezu wirkungslos

Weder die in Apples OS X integrierten Schutzmechanismen noch Antivirensoftware verhindern effektiv die Installation oder Ausführung von Malware. Das demonstrierte ein IT-Sicherheitsexperte.

Artikel veröffentlicht am ,
Mac OS X bietet nur unzureichenden Schutz gegen Malware.
Mac OS X bietet nur unzureichenden Schutz gegen Malware. (Bild: Patrick Wardle)

Gatekeeper, XProtect, die Sandbox oder signierte Applikationen: Sie alle sind nahezu wirkungslos gegen Malware. Das demonstrierte der IT-Sicherheitsforscher Patrick Wardle in seinem Vortrag auf der RSA-Konferenz 2015 in San Francisco. Auch gängige Antivirensoftware für Mac OS X verhindert seinen Analysen zufolge keine Infektion. Nicht eine der von ihm überprüften Lösungen habe seine selbstprogrammierte Malware erkannt. Angreifer benötigen aber meist Root-Rechte.

Stellenmarkt
  1. Cybersecurity Analyst (m/w/div)
    Flughafen Köln/Bonn GmbH, Köln
  2. Application Manager (m/w/d) Core Banking System IT, Schwerpunkt Steuern & Meldewesen
    UmweltBank AG, Nürnberg
Detailsuche

Wardle, der für den Unternehmensberater Synack arbeitet, weist darauf hin, dass Mac OS X mit zunehmender Verbreitung ein immer beliebteres Angriffsziel für Malware-Programmierer wird.

Er machte einige Schwächen etwa bei Gatekeeper aus: Es teste nur, ob eine Anwendung aus einer vertrauenswürdigen Quelle stammt, etwa dem App-Store. Ob eine Anwendung modifiziert wurde, kann Gatekeeper nicht feststellen. Gatekeeper überprüft auch nicht, ob eine Anwendung zusätzlichen Code in das System einschleust.

Kaum Schutz durch Systemwerkzeuge

XProtect soll eigentlich anhand eines Hashwerts erkennen, ob es sich um eine legitime Anwendung oder um Malware handelt. Wardle benannte eine bereits bekannte Malware kurzerhand um und überlistete Xprotect damit problemlos.

Golem Karrierewelt
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    13./14.10.2022, Virtuell
  2. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    24./25.08.2022, virtuell
Weitere IT-Trainings

Auch die Überprüfung der Codesignaturen sei unzuverlässig, sagte Wardle. Solche Signaturen können ohne weiteres entfernt werden, etwa mit einem einfachen Python-Skript. Ohne Signatur wird die Anwendung dennoch gestartet, auch wenn sie zuvor mehrfach mit einer gültigen Signatur aufgerufen wurde. Der Kext-Daemon des Systems, der Signaturen von Kernel-Erweiterungen überprüfen soll, kann mit einfachen Benutzerrechten so manipuliert werden, dass eine Überprüfung wegfällt. Wird er beendet, fällt eine Überprüfung ebenfalls weg, Anwendungen lassen sich dennoch starten.

Auch die Sandbox von Mac OS X, in der Anwendungen in einer isolierten Umgebung laufen sollen, sei anfällig, sagte Wardle. Sie laufe zwar stabil, habe aber etliche Schwachstellen, die es einer Anwendung erlauben, aus der Sandbox auszubrechen. In Googles Project Zero wurden bereits 20 solcher Schwachstellen gelistet.

Kostenlose Werkzeuge sollen helfen

Im Internet kursiere bereits zahlreiche Malware wie Callme, Crisis, Kitmos oder Yontoo, die mit gültigen Entwicklerzertifikaten versehen sind, so Wardle. Eine ähnliche Vorgehensweise wurde im November 2014 unter dem Namen Masque Attack bekannt. Dabei wurden unter anderem Plugins für Spotlight oder Cronjobs genutzt, um Malware nachhaltig im System zu installieren. Allerdings benötigen die meisten Angriffe Root-Rechte, etwa durch die nur teilweise behobene Rootpipe-Schwachstelle, wie Wardle in seinem Video demonstrierte.

Wardle hat zwei kostenlose Werkzeuge bereitgestellt, die Nutzern helfen sollen, mögliche Schadsoftware zu entdecken. Knock Knock sendet Hashwerte aller gestarteten Dateien an Virus Total und benachrichtigt den Anwender so bei möglichen Gefahren. Block Block meldet, wenn ein Prozess versucht, auf eine Stelle im System zuzugreifen, das bekanntermaßen von Malware ausgenutzt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Leo K. 29. Apr 2015

Was ist denn das fuer ne idiotische Aussage? Es ist absurd eine Statistik so anzugehen...

( Alternativ... 28. Apr 2015

.... für die meisten erfolgreichen Angriffe wird der Originalschlüssel benötigt ...

Baron Münchhausen. 28. Apr 2015

Für einen derart harten Schlag braucht man judo!

hw75 27. Apr 2015

Die Sache ist hier nicht nur, dass das Sicherheitsschloss geknackt wurde, sondern im...



Aktuell auf der Startseite von Golem.de
THG-Prämie
Das fragwürdige Abkassieren mit der eigenen Wallbox

Findige Vermittler bieten privaten Wallbox-Besitzern Zusatzeinnahmen für ihren Ladestrom. Wettbewerber sind empört.
Ein Bericht von Dirk Kunde

THG-Prämie: Das fragwürdige Abkassieren mit der eigenen Wallbox
Artikel
  1. Rotary Phone: Vom Wählscheiben-Bastelhandy zur eigenen Produktionsanlage
    Rotary Phone
    Vom Wählscheiben-Bastelhandy zur eigenen Produktionsanlage

    Justine Haupt hat ein Handy mit Wählscheibe entworfen - und gleich eine eigene Produktionsanlage zu Hause aufgebaut. Golem.de hat mit ihr gesprochen.
    Ein Interview von Tobias Költzsch

  2. Samsung Galaxy Book 2 bei Amazon mit 150 Euro Rabatt
     
    Samsung Galaxy Book 2 bei Amazon mit 150 Euro Rabatt

    Bei Amazon lässt sich zurzeit das Samsung Galaxy Book 2 günstig kaufen. Außerdem: weitere Laptops von Samsung und Co. sowie verschiedene Smartphones.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Wissenschaft: Der Durchbruch in der Kernfusion ist ein Etikettenschwindel
    Wissenschaft
    Der Durchbruch in der Kernfusion ist ein Etikettenschwindel

    National Ignition Facility hat das Lawson-Kriterium der Kernfusion erreicht, aber das gilt nur für echte Reaktoren, keine Laserexperimente.
    Ein IMHO von Frank Wunderlich-Pfeiffer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Playstation Sale: Games für PS5/PS4 bis 84% günstiger • PS5 bestellbar • Günstig wie nie: SSD 1TB/2TB, Curved Monitor UWQHD LG 38"/BenQ 32" • Razer-Aktion • MindStar (AMD Ryzen 7 5800X3D 455€, MSI RTX 3070 599€) • Lego Star Wars Neuheiten • Bester Gaming-PC für 2.000€ [Werbung]
    •  /