Matthew Garrett: Apple-Rechner eignen sich nicht für vertrauliche Arbeiten

Zwar kann mit UEFI Secure Boot und TPMs der Startprozess von Windows- und Linux-Rechnern einigermaßen abgesichert werden - dies ließe sich aber verbessern, sagt Security-Experte Matthew Garrett. Katastrophal sei die Lage dagegen bei Apple.

Artikel veröffentlicht am ,
Matthew Garrett auf dem 32C3
Matthew Garrett auf dem 32C3 (Bild: Youtube, CCCen/CC-BY 3.0)

"Wenn ihr ernsthaft vertrauliche Arbeit auf Apple-Laptops macht: Hört auf. Um Gottes willen, bitte hört auf", hat Matthew Garrett in seinem Vortrag auf dem 32C3 gewarnt. Der Entwickler ist bekannt für seine Arbeiten an der Umsetzung von UEFI Secure Boot unter Linux und zur Absicherung des Startprozesses eines Rechners. Laut Garrett hat Apple in den vergangenen drei Jahren nichts an seiner Architektur geändert, um den Bootprozess sicherer zu machen.

Stellenmarkt
  1. Systems Engineer - Secure PIM (m/w/d)
    BWI GmbH, Berlin, Leipzig, Meckenheim, München
  2. Senior Data Governance Experte Logistik Marine (m/w/d)
    BWI GmbH, deutschlandweit
Detailsuche

Demzufolge sind Apple-Laptops nach wie vor über eine bereits im Sommer 2012 vorgestellte Möglichkeit eines EFI-Rootkits angreifbar. Ohne eine mit UEFI Secure Boot vergleichbare Technik zur Verifikation des Startprozesses kann Garrett zufolge nicht überprüft werden, ob das System kompromittiert worden ist. In seinem Blog schreibt Garrett, dass es allerdings noch Hoffnung für Apple gebe. Immerhin habe das Unternehmen vor kurzem Sicherheitsexperten von Legbacore angestellt.

Windows und Linux sind besser geschützt

Unter Windows werde Secure Boot in einer sinnvollen Art und Weise unterstützt. Ebenso könne in Microsofts Betriebssystem Measured Boot genutzt werden. Die für den Start notwendigen Komponenten würden hierbei kryptographisch mit Hilfe eines TPM überprüft. Falls die Bestandteile verändert worden seien, könne der Nutzer dies immerhin vor der Eingabe eines Passwortes erfahren. Eine derartige Benachrichtigung fehle jedoch in der Implementierung von Microsoft.

Auch Linux-Systeme hält Garrett standardmäßig für angreifbar, diese könnten jedoch so konfiguriert werden, dass sie sicherer als Windows seien. So unterstützt Linux etwa Secure Boot, verifiziere aber die Initrd nicht. Darüber hinaus starte zum Beispiel der signierte Bootloader von Ubuntu einen unsignierten Kernel. Für die Implementierung von Measured Boot sei außerdem noch viel Arbeit notwendig.

Golem Akademie
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Trotz dieser Techniken seien Angriffe auf Rechner über die Firmware möglich, auch wenn diese deutlich erschwert würden. Das sollte aber nicht als Ausrede gelten, um die Probleme zu ignorieren, und eine Umsetzung lohne sich auf jeden Fall. Das gelte auch dann, wenn die Firmware keine proprietäre, sondern freie Software sei.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


pythoneer 13. Jan 2016

Schade um deine Mühe, hat nur leider nichts hiermit zu tun.

Cyb3rfr3ak 09. Jan 2016

Für das Fenster anordnen nimmt man am besten 3rd party plugins (z.B. HyperDock...

zettifour 06. Jan 2016

"Damals" war Swift noch Beta. Mir ist Xcode noch nie abgestürzt. Und ich mach da wirklich...

mnementh 06. Jan 2016

Sorry, was? Wo landet denn bitte bei Softwareverschlüsselung der Schlüssel auf der Platte?



Aktuell auf der Startseite von Golem.de
Strange New Worlds Folge 1 bis 3
Star Trek - The Latest Generation

Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
Eine Rezension von Oliver Nickel

Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
Artikel
  1. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

  2. Flowcamper: Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt
    Flowcamper
    Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt

    Das elektrische Wohnmobil Frieda Volt basiert auf einem umgebauten Volkswagen T5 oder T6 und ist mit einem 72-kWh-Akku ausgerüstet.

  3. Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
    Cariad
    Aufsichtsrat greift bei VWs Softwareentwicklung durch

    Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 614€ • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ • AVM FRITZ!Repeater 1200 AX 69€ • MindStar (u. a. Palit RTX 3050 339€) • MMOGA (u. a. Total War Warhammer 3 29,49€) [Werbung]
    •  /