Abo
  • Services:
Anzeige
Mac OS X bietet nur unzureichenden Schutz gegen Malware.
Mac OS X bietet nur unzureichenden Schutz gegen Malware. (Bild: Patrick Wardle)

Malware: Apples Schutzmechanismen sind nahezu wirkungslos

Mac OS X bietet nur unzureichenden Schutz gegen Malware.
Mac OS X bietet nur unzureichenden Schutz gegen Malware. (Bild: Patrick Wardle)

Weder die in Apples OS X integrierten Schutzmechanismen noch Antivirensoftware verhindern effektiv die Installation oder Ausführung von Malware. Das demonstrierte ein IT-Sicherheitsexperte.

Anzeige

Gatekeeper, XProtect, die Sandbox oder signierte Applikationen: Sie alle sind nahezu wirkungslos gegen Malware. Das demonstrierte der IT-Sicherheitsforscher Patrick Wardle in seinem Vortrag auf der RSA-Konferenz 2015 in San Francisco. Auch gängige Antivirensoftware für Mac OS X verhindert seinen Analysen zufolge keine Infektion. Nicht eine der von ihm überprüften Lösungen habe seine selbstprogrammierte Malware erkannt. Angreifer benötigen aber meist Root-Rechte.

Wardle, der für den Unternehmensberater Synack arbeitet, weist darauf hin, dass Mac OS X mit zunehmender Verbreitung ein immer beliebteres Angriffsziel für Malware-Programmierer wird.

Er machte einige Schwächen etwa bei Gatekeeper aus: Es teste nur, ob eine Anwendung aus einer vertrauenswürdigen Quelle stammt, etwa dem App-Store. Ob eine Anwendung modifiziert wurde, kann Gatekeeper nicht feststellen. Gatekeeper überprüft auch nicht, ob eine Anwendung zusätzlichen Code in das System einschleust.

Kaum Schutz durch Systemwerkzeuge

XProtect soll eigentlich anhand eines Hashwerts erkennen, ob es sich um eine legitime Anwendung oder um Malware handelt. Wardle benannte eine bereits bekannte Malware kurzerhand um und überlistete Xprotect damit problemlos.

Auch die Überprüfung der Codesignaturen sei unzuverlässig, sagte Wardle. Solche Signaturen können ohne weiteres entfernt werden, etwa mit einem einfachen Python-Skript. Ohne Signatur wird die Anwendung dennoch gestartet, auch wenn sie zuvor mehrfach mit einer gültigen Signatur aufgerufen wurde. Der Kext-Daemon des Systems, der Signaturen von Kernel-Erweiterungen überprüfen soll, kann mit einfachen Benutzerrechten so manipuliert werden, dass eine Überprüfung wegfällt. Wird er beendet, fällt eine Überprüfung ebenfalls weg, Anwendungen lassen sich dennoch starten.

Auch die Sandbox von Mac OS X, in der Anwendungen in einer isolierten Umgebung laufen sollen, sei anfällig, sagte Wardle. Sie laufe zwar stabil, habe aber etliche Schwachstellen, die es einer Anwendung erlauben, aus der Sandbox auszubrechen. In Googles Project Zero wurden bereits 20 solcher Schwachstellen gelistet.

Kostenlose Werkzeuge sollen helfen

Im Internet kursiere bereits zahlreiche Malware wie Callme, Crisis, Kitmos oder Yontoo, die mit gültigen Entwicklerzertifikaten versehen sind, so Wardle. Eine ähnliche Vorgehensweise wurde im November 2014 unter dem Namen Masque Attack bekannt. Dabei wurden unter anderem Plugins für Spotlight oder Cronjobs genutzt, um Malware nachhaltig im System zu installieren. Allerdings benötigen die meisten Angriffe Root-Rechte, etwa durch die nur teilweise behobene Rootpipe-Schwachstelle, wie Wardle in seinem Video demonstrierte.

Wardle hat zwei kostenlose Werkzeuge bereitgestellt, die Nutzern helfen sollen, mögliche Schadsoftware zu entdecken. Knock Knock sendet Hashwerte aller gestarteten Dateien an Virus Total und benachrichtigt den Anwender so bei möglichen Gefahren. Block Block meldet, wenn ein Prozess versucht, auf eine Stelle im System zuzugreifen, das bekanntermaßen von Malware ausgenutzt wird.


eye home zur Startseite
Leo K. 29. Apr 2015

Was ist denn das fuer ne idiotische Aussage? Es ist absurd eine Statistik so anzugehen...

( Alternativ... 28. Apr 2015

.... für die meisten erfolgreichen Angriffe wird der Originalschlüssel benötigt ...

Baron Münchhausen. 28. Apr 2015

Für einen derart harten Schlag braucht man judo!

hw75 27. Apr 2015

Die Sache ist hier nicht nur, dass das Sicherheitsschloss geknackt wurde, sondern im...

blackout23 27. Apr 2015

Hat schon jemand einen Steve Jobs Ultras Fanclub gegründet?



Anzeige

Stellenmarkt
  1. CNS-IT GmbH, Filderstadt
  2. thyssenkrupp Industrial Solutions AG, Essen
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. arago GmbH, Frankfurt am Main


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. 23,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. App Store

    Apple verbietet Preishinweise in App-Bezeichnungen

  2. Software-Update

    Tesla-Autopilot 2.0 bis 130 km/h aktiv

  3. Terminverwaltung

    Googles Kalender-App fürs iPad erweitert

  4. Arbeitsplätze

    Audi-Belegschaft verlangt E-Autoproduktion in Deutschland

  5. Cloud Native Con

    Kubernetes 1.6 versteckt Container-Dienste

  6. Blizzard

    Heroes of the Storm 2.0 bekommt Besuch aus Diablo

  7. APT29

    Staatshacker nutzen Tors Domain-Fronting

  8. Stellenanzeige

    Netflix führt ausgefeilten Kampf gegen illegale Kopien

  9. Xbox One

    Neue Firmware mit Beam und Erfolgsmonitoring

  10. Samsung

    Neue Gear 360 kann in 4K filmen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gesetzesentwurf: Ein Etikettenschwindel bremst das automatisierte Fahren aus
Gesetzesentwurf
Ein Etikettenschwindel bremst das automatisierte Fahren aus
  1. E-Mail-Lesen erlaubt Koalition bessert Gesetz zum automatisierten Fahren nach
  2. Autonomes Fahren Uber stoppt nach Unfall Versuch mit selbstfahrenden Taxis
  3. Tesla Autopilot Root versichert autonom fahrende Autos

Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Synlight: Wie der Wasserstoff aus dem Sonnenlicht kommen soll
Synlight
Wie der Wasserstoff aus dem Sonnenlicht kommen soll
  1. Energieversorgung Tesla nimmt eigenes Solarkraftwerk in Hawaii in Betrieb

  1. Exynos CPU für D

    niemandhier | 08:44

  2. Re: Klinke

    triplekiller | 08:43

  3. Re: Elektro SUV = Schwachsinn

    rocketfoxx | 08:42

  4. Re: 64 gb rom?

    triplekiller | 08:41

  5. Sinn?

    deefens | 08:38


  1. 08:27

  2. 07:40

  3. 07:27

  4. 07:13

  5. 18:40

  6. 18:19

  7. 18:01

  8. 17:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel