Analyse: Tahoe spart sich bestimmte Sicherheitsprüfungen für Apps – für schnellere Starts
Anders als ein iPhone kann ein Mac neue Software aus verschiedensten Quellen beziehen: Download aus dem Netz, Installation von CD, Spielebibliotheken und Paketverwaltungen wie Homebrew existieren parallel zum Mac App Store. Um Nutzern eine ähnlich hohe Sicherheit wie auf der weitaus geschlosseneren Plattform zu bieten, führte Apple das Notarisierungssystem ein: Entwickler registrieren sich für eine jährliche Gebühr und reichen ihre Software vorab zur Überprüfung ein. Das App-Paket erhält dann eine Signatur; unabhängig vom Installationsweg ist es nun sicher vor Veränderung. Bis zu macOS 15 (Sequoia) überprüfte das System jede neu hinzugekommene App trotzdem auf Malware. Eine
Analyse von Howard Oakley offenbart jetzt: Unter macOS 26 entfällt diese lokale Überprüfung.
Was im Hintergrund bei macOS abläuft, wenn eine neue App das erste Mal gestartet wird, stellt ein umfangreiches Sicherheitsprotokoll dar. Insgesamt
sieben Prüfungen durchlief ein frisch installiertes Programm bisher, bevor es starten durfte. Gemäß Oakleys Untersuchungen fällt inzwischen eine Überprüfung weg – sie war ohnehin redundant. Eine abseits des Mac App Store installierte App wird in macOS Tahoe zunächst auf die Notarisierung validiert; sofern diese sich als korrekt erweist und das Entwicklerzertifikat weiterhin Gültigkeit hat, entfällt in macOS Tahoe ein XProtect-Scan auf bösartige Softwarebestandteile.
Keine verringerte SicherheitDies bedeutet für das lokale System keine Reduktion der Sicherheitsmaßnahmen – die Notarisierung stellt ohnehin sicher, dass es sich um dasselbe Software-Paket handelt, welches bei Apple zur serverseitigen Überprüfung eingereicht wurde. Dies bedeutet allerdings nur bedingt einen Geschwindigkeitsvorteil: Oakley stellte beim Aktivieren der komplexen Open-Source-Software "Calibre" einen halb so schnellen Start fest (10,29 anstatt 5,33 Sekunden), während sein eigenes Programm Podofyllin in 0,16 anstatt 0,19 Sekunden startete.
Translokation vermeidenWeiterhin führt macOS bei frisch heruntergeladener Software eine weitere Sicherheitsmaßnahme durch: Öffnet man ein Programm aus dem Downloads-Ordner heraus, wird es für den ersten Start in einen zufällig benannten Ordner unter /private/var/folders verpflanzt und von dort aus gestartet. Das kann in manchen Fällen bedeuten, dass eine App nicht richtig funktioniert, da Bezüge in der Dateihierarchie nur bedingt zutreffen. Überprüfen lässt sich dies mit dem Programm „Aktivitätsanzeige“: Klickt man auf den Eintrag eines laufenden Programms und wählt "Informationen" (
+I), erscheint in der ersten Zeile ein Pfad mit zufälliger Buchstabenkombination innerhalb von "/private/var/folders".
Die Aktivitätsanzeige offenbart: Eine App im Unterordner wird von macOS bei jedem Start in einen zuälligen Unterordner verbannt.
Apps im Ordner: dauerhaft eingeschränktOakley fand heraus, dass dies dauerhaft der Fall ist, sofern eine App im Downloads-Ordner verweilt. Zusätzlich (und ebenso dauerhaft) gilt diese Sicherheitsmaßnahme, wenn Sie das Programm inklusive des umgebenden Ordners in den Ordner "Programme" bewegen. Erst wenn man eine App ohne Drumherum in den Programme-Ordner bewegt, fällt die automatische Translokation beim Start fortan weg. Funktioniert also eine App nicht wie gewünscht, überprüfen Sie zunächst mit der Aktivitätsanzeige, ob die Translokation aktiv ist. Falls ja, beenden Sie sie und bewegen Sie das Programm in die oberste Ebene des Programme-Ordners.