Qualitätsmängel bei Apple: Forscher lässt Malware-Warnsystem von macOS verstummen
Ein neues Warnsystem von Apple sollte macOS-Nutzer eigentlich vor Malware-Infektionen warnen. Ein Forscher konnte den Schutz jedoch umgehen.
Der Sicherheitsforscher Patrick Wardle machte auf der Defcon-Hackerkonferenz in Las Vegas auf mehrere Schwachstellen im Background-Task-Management (BTM) von macOS aufmerksam. Wie aus einem Bericht von Wired hervorgeht, soll es Angreifern damit möglich sein, Apples Warnsystem zu umgehen und so eine persistente Schadsoftware auf einem Mac zu installieren, ohne dass der Benutzer dies mitbekommt.
Forscher ließ macOS-Warnmeldungen verstummen
Das mit macOS Ventura im Oktober 2022 eingeführte Background-Task-Management sollte Nutzer eigentlich darüber benachrichtigen, wenn eine Software versucht, Persistenz herzustellen – sich also im System derart verankert, dass sie auch einen Neustart des Computers überdauert. Wenn eine solche Warnung unmittelbar auf die Installation einer Anwendung durch den Benutzer folgt, kann sie üblicherweise als unkritisch angesehen werden. Erscheint sie jedoch unerwartet, so kann dies auf eine Infektion mit einer Malware hindeuten.
Während Wardle den von Apple implementierten Schutzmechanismus grundsätzlich für "eine gute Sache" hält, warnt er zugleich davor, dass die Umsetzung der Funktion bisher so mangelhaft war, "dass jede Malware, die etwas ausgeklügelt ist, die Überwachung einfach umgehen kann". So demonstrierte der Forscher auf der Defcon drei verschiedene Wege, mit denen sich die Persistenzbenachrichtigungen von macOS umgehen lassen. Einer davon erfordere demnach einen Root-Zugriff auf dem Zielgerät, die anderen beiden jedoch nicht.
Dabei stellte Wardle unter anderem einen Exploit vor, der die Art und Weise ausnutzte, wie Apples Warnsystem mit dem Kernel des Betriebssystems kommuniziert. In einem anderen Fall gelang es ihm, die Fähigkeit unprivilegierter Benutzer, Prozesse in den Ruhezustand zu versetzen, auszunutzen, um die Persistenzbenachrichtigungen zu unterdrücken. Technische Details zu den Abläufen gehen aus dem Wired-Bericht allerdings nicht hervor.
Die Qualität lässt noch zu wünschen übrig
Schon zuvor soll der Sicherheitsforscher Apple auf Probleme mit dem BTM aufmerksam gemacht haben. Diese habe der Konzern zwar daraufhin behoben, jedoch habe das Unternehmen versäumt, die Qualität des Tools insgesamt zu verbessern, was schließlich die neuen Schwachstellen zutage gefördert habe. Infolgedessen habe sich Wardle schließlich dafür entschieden, seine Erkenntnisse auf der Defcon zu teilen, ohne Apple zuvor erneut darüber zu benachrichtigen.
Apples Vorgehensweise, derartige Werkzeuge übereilt und in unzureichend getesteter Form zur Verfügung zu stellen, halte der Forscher für problematisch, da der Konzern den Benutzern damit ein falsches Gefühl von Sicherheit vermittle. "Sie hatten nicht verstanden, dass für die Funktion eine Menge Arbeit erforderlich war", so Wardle.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
