Apple lässt sich Malware-Schutz durch Browser-Isolierung patentieren

Apple hat ein Patent auf eine Architektur zugesprochen bekommen, die Computersystemen eine bessere Absicherung gegen Schadcode bieten soll. Das Konzept besteht darin, Programme mit Zugriff auf Netzwerkschnittstellen (etwa den Browser) und Speicher voneinander zu isolieren.

Das Patent mit der Nummer RE 43.987 hat Apple am 5. Februar erhalten, wie jetzt bekannt wurde. Wie das Namenselement RE für „Reissue“ zeigt, handlt es sich um eine Aktualisierung eines früheren Patents mit der Nummer 7.484.247, beantragt im August 2004 und erteilt im Januar 2009. Der neue Antrag stammt von 2011 und ist somit immer noch rund ein Jahr entstanden, bevor der OS-X-Trojaner Flashback den Mythos der Unverwundbarkeit von Apple-Rechnern endgültig zerstörte.

Schon damals ging Apple recht explizit auf die „grundlegende Schwäche“ existierender Antivirenprogramme und auch hardwarebasierter Schutzsysteme ein: „Alle eingehende ausführbaren Dateien müssen Zugang zum Hauptprozessor haben, um die gewünschte Funktion auszuführen. Haben sie diesen Zugang aber erst einmal, können sich auch auf nichtflüchtigen Speicher und andere Kern-Elemente eines Computersystems zugreifen. Malware nutzt diese wichtige architektonische Schwachstelle, um Computersysteme zu infiltrieren und zu kompromittieren.“

Apple zufolge wäre es besser, wenn der Speicherzugriff nicht allen Programmen möglich wäre. Speziell Applikationen mit Netzwerkzugriff, vor allem Browser, gelte es zu isolieren, wenn sie in der Lage seien, Programme herunterzuladen und auszuführen – egal ob Java-Applets oder ausführbare Dateien. Apples Schluss: „Benötigt wird also ein Mittel, um Programme mit Zugriff auf Netzwerkschnittstellen und das Haupt-Computersystem voneinander zu isolieren, sodass diese Programme nicht den gleichen Speicher wie andere vertrauenswürdige Applikationen verwenden.“

Seine Vision ist es also, den Browser und andere Programme mit Internetzugriff in einem „geschützten Bereich“ auszuführen – in einem Sandkasten, wie andere Hersteller sagen würden, denn völlig neu ist das jetzt patentierte Konzept nicht.

Claudio Guarnieri von Rapid 7 weist zum Beispiel auf die Ähnlichkeit des Apple-Systems zum Projekt Qubes OS hin. „Die grundlegende Idee ist, jeden kritischen Prozess – den Apple als mit dem Netzwerk verbunden charakterisiert – blind für die Ressourcen aller anderen Prozesse zu machen“, sagte er ZDNet gegenüber. „Apples Segmentierung besteht darin, den Speicher für bestimmte Kontexte zu unterteilen und eventuelle Infektionen auf den ursprünglichen Abschnitt zu beschränken. Qubes OS nutzt stattdessen eine vollständige Virtualisierung, um jeder Domäne eigene Ressourcen zuzuteilen und letztlich das gleiche Ziel zu erreichen.“

Der Sicherheitsforscher schreibt aber auch, dass es „ein großer Schritt vorwärts für die Sicherheit von Apples Produkten wäre“, wenn das Unternehmen das Konzept der Isolation von Ressourcen „nativ ins Betriebssystem integrieren“ würde. Ob es sich auch in der Theorie um ein völlig neues Konzept handle, falle das gar nicht so ins Gewicht.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.