Forscher: Apples Sicherheits-Tools für OS X lassen sich leicht umgehen

Der Sicherheitsforscher Patrick Wardle, Director of Research bei Synack, hat auf der RSA-Konferenz in San Francisco demonstriert (PDF), wie sich die von Apple in OS X integrierten Sicherheits-Tools aushebeln lassen, um Malware auszuführen. „Für einen Angreifer ist das Umgehen der Sicherheits-Tools eines Macs etwas alltägliches“, sagte Wardle einem Bericht von ThreatPost zufolge. „Wenn Macs absolut sicher wären, würde ich nicht diesen Vortrag halten.“

Bei den beiden Sicherheitsanwendungen handelt es sich um Apples Gatekeeper und XProtect. Letzteres ist der seit OS X 10.6. Snow Leopard enthaltene signaturenbasierte Malwareschutz. Er blockiert bestimmte Apps und Plug-ins, die als Schadsoftware bekannt sind.

Gatekeeper wiederum hatte Apple 2012 mit OS X 10.8 Mountain Lion eingeführt. Das Tool fungiert wie ein „Torwächter“ und soll verhindern, dass Nutzer „unwissentlich bösartige Software herunterladen und installieren“. Laut Wardle prüft Gatekeeper eine App aber nicht kontinuierlich. „Wenn ich also eine von Apple genehmigte App nehme und sie dazu bringe, externe Inhalte zu laden, wenn sie vom Nutzer ausgeführt wird, dann umgeht sie Gatekeeper“, erklärte Wardle.

XProtect lasse sich durch ein erneutes Kompilieren einer Malware, wodurch sich deren Hash-Wert ändere, oder auch einfaches Umbenennen austricksen, so Wardle weiter. Die Sandbox-Funktion von XProtect sei zwar „effektiv“, sie könne aber durch mehrere bekannte Kernel-Schwachstellen umgangen werden. Auch gängige Antiviren-Lösungen für den Mac sind Wardle zufolge nicht in der Lage, Schadsoftware effektiv abzuwehren. Ein von ihm entwickelte Demo-Malware, die kontinuerlich Daten an einen bestimmten Server sendet, wurde von keinem der mehr als zehn getesteten Sicherheitslösungen erkannt. Mac-Nutzern empfielt der Sicherheitsspezialist die Verwendung seiner kostenlosen Tools KnockKnock und BlockBlock. Ersteres sendet zur Überprüfung die Hashwerte aller automatisch gestarteten Programme an VirusTotal. Der Hintergrunddienst Block Block überwacht die von bekannter Malware genutzten Stellen im System und alarmiert den Nutzer, sobald diese von einer Software genutzt werden.

Malware für Apples Desktop-Betriebssystem ist zwar sehr selten, Hacker nehmen aber immer wieder auch OS-X-Nutzer ins Visier. Ende vergangenen Jahres wurde beispielsweise eine WireLurker genannte Schadsoftware über einen chinesischen App Store verbreitet. Sie wurde benutzt, um iOS-Geräte zu infizieren, was laut Untersuchungen von Palo Alto Networks auch mit nicht-gejailbreakten iPhones möglich war. Da dies zuvor nur mit entsperrten Geräten möglich war, sprach das Unternehmen sogar von einer „neuen Ära von iOS-Malware„.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de