Ein Sicherheitsforscher hat eine einfache Methode entwickelt, um die in Mac OS X integrierte Sicherheitssoftware Gatekeeper zu umgehen, wie Ars Technica berichtet. Er kombiniert eine von Apple signierte Binärdatei mit einer oder mehreren Schaddateien, damit letztere eine Überprüfung durch Gatekeeper überstehen. Die signierte Datei wiederum führt danach die im selben Ordner befindlichen Schadprogramme aus, um weitere Malware wie Keylogger zu installieren.
„Wenn die Anwendung gültig ist, dann sagt Gatekeeper ‚Ok, das kann ausgeführt werden‘, und dann beendet Gatekeeper seine Prüfung“, sagte Wardle im Gespräch mit Ars Technica. Gatekeeper überwache eine Anwendung nicht und untersuche auch keine anderen Inhalte im selben Ordner, die die Anwendung ausführe.
Die neue Version unterstützt alle ab 2009 eingeführten Macs und einige frühere Modelle. Wesentliche Neuerungen sind das verbesserte Mission Control, eine leichter lesbare Systemschrift, Split View, die vielseitigere Spotlight-Suche und die Grafiktechnologie Metal. Einige Softwarehersteller müssen noch für die Kompatibilität ihrer Anwendungen zu El Capitan sorgen.
Für seinen Exploit hat Wardle eine bestimmte von Apple signierte Binärdatei genommen, die bei ihrer Installation eine weitere Binärdatei ausführt. Letztere tauschte er gegen eine manipulierte Binärdatei aus, die er in ein Apple Disk Image packte. Als Beispiel nannte er einen Installer einer App wie Photoshop, der mit speziell präparierten Plug-ins gebündelt wurde, die die App wiederum automatisch öffnet. Da Gatekeeper nur den ersten Installer prüfe, erhalte eine Nutzer keine Warnung vor den gefährlichen Plug-ins, so Wardle weiter. Welche Binärdatei er für seinen Exploit nutzte, teilte Wardle auf Wunsch von Apple nicht mit.
Der Forscher informierte Apple dem Bericht zufolge schon vor mehr als 60 Tagen über die Sicherheitslücke in Gatekeeper. Das Unternehmen arbeite an einem Fix. „Wenn ich das finden kann, dann muss man annehmen, dass auch Hackergruppen oder Nationalstaaten ähnliche Schwachstellen gefunden haben“, ergänzte Wardle. Er ist sich sicher, „dass es da draußen andere von Apple signierte Apps gibt“, die sich benutzen lassen, um Gatekeeper zu umgehen.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
