Loch in Sandbox von Mac OS X ist kein ernstes Sicherheitsproblem

Die Sicherheitsfirma CoreLabs hat einen Weg gefunden, das Sandboxing von Mac OS X zu umgehen. Sie berichtet, dass mehrere der vordefinierten Sandboxing-Profile die verfügbaren Ressourcen nicht wie vorgegeben einschränken. Insbesondere soll es möglich sein, indirekt auf Netzwerk-Ressourcen zuzugreifen. So könne ein Programm mit dem Profil „kSBXProfileNoNetwork“, das eigentlich nicht auf das Netzwerk zugreifen darf, dennoch begrenzten Zugriff erlangen, indem es mit „Apple Events“ die Technologie hinter AppleScript nutzt.

Das bedeutet, dass in seltenen Fällen ein kompromittiertes oder fehleranfälliges Programm Zugang zum Netzwerk erhalten und Daten senden kann, obwohl die Sandboxing-Mechanismen das eigentlich verhindern sollten. „Eine kompromittierte Anwendung, die hypothetisch durch die Nutzung des Kein-Netzwerk-Profils eingeschränkt ist, könnte durch Apple Events auf Netzwerk-Ressourcen zugreifen und für die Ausführung anderer Anwendungen sorgen, die nicht unmittelbar durch die Sandbox eingeschränkt sind“, erklären die Sicherheitsforscher.

Das ist jedoch nicht so dramatisch, wie es auf den ersten Blick aussieht. Noch ist das Sandboxing für Mac-Apps freiwillig und damit so etwas wie eine Leine, die auch einem gut trainierten Hund für alle Fälle umgelegt wird. Apple hat die ursprünglich für November dieses Jahres vorgesehene Sandboxing-Pflicht verschoben. Erst ab 1. März 2012 müssen alle für den Mac App Store eingereichten Anwendungen Sandboxing implementieren.

Sandboxing umgibt Software mit einer virtuellen Grenze, setzt sie also in einen Sandkasten, der das laufende Programm vom übrigen System isoliert. Diese Sicherheitstechnik bildet eine letzte Verteidigungslinie gegen fehlerhafte oder kompromittierte Anwendungen. Das von einer Sandbox abgeschirmte Programm bekommt nur Zugriff auf diejenigen Systemressourcen, für die es begründete Berechtigungen hat. Apple verwaltet diese Berechtigungen und überprüft bei der Einreichung von Apps, ob sie nicht zu breit angelegt sind für den Zweck, den das Programm erfüllen soll.

Die Mitarbeiter von CoreLabs kritisieren vor allem, dass Apple zu der Sicherheitslücke lediglich angekündigt hat, in der Dokumentation klarzustellen, dass die Einschränkungen durch Sandboxing für die jeweilige Anwendung, aber nicht unbedingt auch für andere Prozesse gelten. Sie erinnern an eine schon 2008 im Sandboxing entdeckte Lücke, bei der Apple umgehend reagierte und das Profil änderte, um das Sicherheitsproblem zu beheben: „Es stellt sich die Frage, warum hat Apple das nicht auch in diesem Fall gemacht?“

Paul Ducklin von der Sicherheitsfirma Sophos scheint es weniger dramatisch zu sehen. Aber auch er fordert Apple zum Nacharbeiten auf: „Wird Apple die Sandbox jetzt rigider gestalten? Wir wollen es hoffen. Und hoffen wir, dass Apple in Zukunft offener über seine Sandbox informiert und darüber, wie das Beste aus ihr zu machen ist.“