Categories: SicherheitVirus

Forscher: Apples Sicherheits-Tools für OS X lassen sich leicht umgehen

Der Sicherheitsforscher Patrick Wardle, Director of Research bei Synack, hat auf der RSA-Konferenz in San Francisco demonstriert (PDF), wie sich die von Apple in OS X integrierten Sicherheits-Tools aushebeln lassen, um Malware auszuführen. „Für einen Angreifer ist das Umgehen der Sicherheits-Tools eines Macs etwas alltägliches“, sagte Wardle einem Bericht von ThreatPost zufolge. „Wenn Macs absolut sicher wären, würde ich nicht diesen Vortrag halten.“

Bei den beiden Sicherheitsanwendungen handelt es sich um Apples Gatekeeper und XProtect. Letzteres ist der seit OS X 10.6. Snow Leopard enthaltene signaturenbasierte Malwareschutz. Er blockiert bestimmte Apps und Plug-ins, die als Schadsoftware bekannt sind.

Apples Virenscanner XProtect lässt sich durch einfaches Rekompilieren oder Umbennnen einer Malware austricksen (Bild: Patrick Wardle/Synack).

Gatekeeper wiederum hatte Apple 2012 mit OS X 10.8 Mountain Lion eingeführt. Das Tool fungiert wie ein „Torwächter“ und soll verhindern, dass Nutzer „unwissentlich bösartige Software herunterladen und installieren“. Laut Wardle prüft Gatekeeper eine App aber nicht kontinuierlich. „Wenn ich also eine von Apple genehmigte App nehme und sie dazu bringe, externe Inhalte zu laden, wenn sie vom Nutzer ausgeführt wird, dann umgeht sie Gatekeeper“, erklärte Wardle.

XProtect lasse sich durch ein erneutes Kompilieren einer Malware, wodurch sich deren Hash-Wert ändere, oder auch einfaches Umbenennen austricksen, so Wardle weiter. Die Sandbox-Funktion von XProtect sei zwar „effektiv“, sie könne aber durch mehrere bekannte Kernel-Schwachstellen umgangen werden. Auch gängige Antiviren-Lösungen für den Mac sind Wardle zufolge nicht in der Lage, Schadsoftware effektiv abzuwehren. Ein von ihm entwickelte Demo-Malware, die kontinuerlich Daten an einen bestimmten Server sendet, wurde von keinem der mehr als zehn getesteten Sicherheitslösungen erkannt. Mac-Nutzern empfielt der Sicherheitsspezialist die Verwendung seiner kostenlosen Tools KnockKnock und BlockBlock. Ersteres sendet zur Überprüfung die Hashwerte aller automatisch gestarteten Programme an VirusTotal. Der Hintergrunddienst Block Block überwacht die von bekannter Malware genutzten Stellen im System und alarmiert den Nutzer, sobald diese von einer Software genutzt werden.

Malware für Apples Desktop-Betriebssystem ist zwar sehr selten, Hacker nehmen aber immer wieder auch OS-X-Nutzer ins Visier. Ende vergangenen Jahres wurde beispielsweise eine WireLurker genannte Schadsoftware über einen chinesischen App Store verbreitet. Sie wurde benutzt, um iOS-Geräte zu infizieren, was laut Untersuchungen von Palo Alto Networks auch mit nicht-gejailbreakten iPhones möglich war. Da dies zuvor nur mit entsperrten Geräten möglich war, sprach das Unternehmen sogar von einer „neuen Ära von iOS-Malware„.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago