Angriffsszenario auf dem Mac: Apps automatisch über den Browser starten

Apple unterstützt auf dem Mac das Öffnen von Programmen durch URL-Schemas: Klickt der Nutzer auf einen Link zu Apple Music, öffnet der Mac automatisch iTunes und zeigt das hinterlegte Musikstück an. Auch Dritthersteller-Programme können solche URL-Schemas hinterlegen, so dass ein Klick auf einen bestimmten Link eine App eines Drittherstellers startet.


Sobald ein Programm auf den Mac kopiert oder heruntergeladen wird, sucht macOS die Beschreibungsdatei der App nach solchen URL-Schemas ab und registriert diese in einer Datenbank. Klickt der Nutzer nun einen solchen Link an, öffnet macOS die passende App zu dem URL-Schema. Das Blog objective-see.com hat ein mögliches Angriffsszenario veröffentlicht, wie Hacker dieses Verhalten mit wenig Interaktion durch den Anwender ausnutzen und Code auf dem Mac ausführen können.

In der Standardeinstellung entpackt Safari nach dem Herunterladen ZIP-Archive sofort, ohne zuvor den Inhalt zu analysieren. Mittels Javascript ist es Angreifern möglich, bei Besuch einer Webseite ein ZIP-Archiv in den Downloads-Ordner des Macs herunterzuladen – Safari entpackt daraufhin die ZIP-Datei ohne Nachfrage. Enthält dieses ZIP-Archiv ein Programm, analysiert macOS auch hier sofort die URL-Schemas, die in der Beschreibungsdatei der App enthalten sind und nimmt diese in die Datenbank der registrierten URL-Schemas auf. Einem Angreifer ist es somit möglich, dem Nutzer ein Schadprogramm unterzuschieben – allerdings müsste dies der Nutzer manuell starten. Hierfür könnte ein Hacker eine zweite Schwachstelle ausnutzen, um das Programm mit wenig Nutzerinteraktion zu starten.

Da die URL-Schemas der gerade erst heruntergeladenen App bereits von macOS registriert wurden, kann ein Hacker nun durch dieselbe Webseite, welche die App heruntergeladen hat, eine URL mit diesem Schema öffnen. Mittels Javascript ist es einfach möglich, den Browser eine neue URL mit dem registrierten Schema öffnen zu lassen. Dies führt zu einer Nachfrage von Safari, ob die App geöffnet werden soll:


Leider lässt sich der Text aber durch Hacker anpassen, so dass nicht der Name der App, sondern ein frei wählbarer Text in der Nachfrage erscheint:


Nachdem der Nutzer auf "Erlauben" geklickt hat, öffnet sich das Programm auf dem Mac – Gatekeeper präsentiert nun eine Nachfrage, ob die App tatsächlich geöffnet werden soll. Aber auch hier ist die Bezeichnung der App völlig frei durch einen Angreifer wählbar, so dass er einen bekannten App-Namen wie beispielsweise "Pages.app" verwenden kann.


Erfahrene Nutzer werden hier mit Sicherheit auf "Abbrechen" klicken – weniger Technik-affine Anwender können mit geschickt gewählten Namen aber leicht dazu verleitet werden, die Option "Öffnen" zu wählen. Danach ist es dem Angreifer möglich, Code auf dem Mac auszuführen – ohne Sandbox und mit vollen Rechten des aktuell angemeldeten Nutzers.

Apple könnte das Problem recht einfach beheben, indem erst nach Start eines Programms URL-Schemas in die Datenbank von macOS aufgenommen werden – nicht schon beim Herunterladen oder Kopieren eines Programms. So müsste der Anwender erst das Programm manuell starten, bevor tatsächlich Code des Angreifers ausgeführt wird.

Kommentare

maculi
maculi03.09.18 12:27
Eine weitere Möglichkeit wäre es, in den Sicherheitseinstellungen eine neue Rubrik aufzumachen, an welches Programm Safari Links weiter reichen darf. Da das eine Systemfunktion ist wird es vermutlich auch gleich deutlich schwieriger, den Nutzer durch einen falschen Text oder Programmnamen in die Irre zu führen.
0
Geegah03.09.18 12:43
Das automatische Entpacken von Zip-Archiven und nachfolgende bewegen in den Papierkorb nervt mich an jedem Mac mit Standardbrowser Safari an dem ich mal etwas herunterlade...

Ich bin großer macOS Fan verwende aber nie Safari, wenn’s nicht sein muss!
-2
LoCal
LoCal03.09.18 12:54
Apple könnte das Problem recht einfach beheben, indem erst nach Start eines Programms URL-Schemas in die Datenbank von macOS aufgenommen werden – nicht schon beim Herunterladen oder Kopieren eines Programms.

Ausserdem sollten das automatische Öffnen von "sicheren" Inhalten standardmäßig abgeschaltet bzw. ganz entfernt werden.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+5
Phil Philipp
Phil Philipp03.09.18 12:56
Geegah
Das automatische Entpacken von Zip-Archiven und nachfolgende bewegen in den Papierkorb nervt mich an jedem Mac mit Standardbrowser Safari an dem ich mal etwas herunterlade...

Ich bin großer macOS Fan verwende aber nie Safari, wenn’s nicht sein muss!
Na wenns nur das ist - das kannst Du einfach abschalten: Safari > Einstellungen > Allgemein> "Sichere" Dateien nach dem Download öffnen > Haken entfernen
+11
MikeMuc03.09.18 13:49
Phil Philipp
Das sollte wohl eher heißen das es diese Option gar nich geben sollte!
-1
odi141003.09.18 13:53
"...
mit geschickt gewählten Nahmen
..."

Nohmen est ohmen!
+3
Mendel Kucharzeck
Mendel Kucharzeck03.09.18 13:55
odi1410
Danke, das ist bei der Korrektur durchgerutscht Habs ausgebessert, toller Tippfehler
+1
odi141003.09.18 14:08
Mendel Kucharzeck

Wollte nicht klugscheissen! Brannte nur so im Auge.
👍🏼
+2
Mendel Kucharzeck
Mendel Kucharzeck03.09.18 14:08
odi1410
Habe es nicht auf Klugscheisserei aufgenommen, war ja peinlicher Tippfehler.
0
Phil Philipp
Phil Philipp03.09.18 14:20
MikeMuc
Phil PhilippDas sollte wohl eher heißen das es diese Option gar nich geben sollte!
Anders als Geegah nervt mich das automatische Entpacken/Öffnen nicht. Deshalb ist das schon okay, dass es diese Option gibt. Ich möchte nicht JEDESMAL gefragt werden, was mit entsprechenden Dateien passieren soll...habe mich daher für die o.g. Option entschieden.
Dass das sicherheitstechnisch fragwürdig ist, ist mir dabei durchaus bewusst. Aber ich bilde mir ein, dass ich weiss was ich tue, wenn ich irgendwo auf "Download" klicke.
0
Thomas_U
Thomas_U03.09.18 15:13
Phil Philipp
Geegah
Das automatische Entpacken von Zip-Archiven und nachfolgende bewegen in den Papierkorb nervt mich an jedem Mac mit Standardbrowser Safari an dem ich mal etwas herunterlade...(...)
Na wenns nur das ist - das kannst Du einfach abschalten: Safari > Einstellungen > Allgemein> "Sichere" Dateien nach dem Download öffnen > Haken entfernen

Ist bei mir schon immer abgeschaltet.
+2
lamariposa03.09.18 17:18
Phil Philipp
…Aber ich bilde mir ein, dass ich weiss was ich tue, wenn ich irgendwo auf "Download" klicke.

Wieso klicken??
Der Download geschieht mittels Javascript im Hintergrund automatisch nur durch den Besuch der Website ohne dass du es mitbekommst - klicken musst du da mal gar nichts…
+1
Phil Philipp
Phil Philipp03.09.18 17:40
lamariposa
.... automatisch nur durch den Besuch der Website ohne dass du es mitbekommst - klicken musst du da mal gar nichts…
Ja, ist mir schon klar - aber
- meine 1. Antwort bzgl. des Opt-Out zum automatischen Entpacken bezog sich eigentlich nur auf Geegah´s Einwurf, was ihn persönlich an Safari ärgert.
- ich zähle mich jetzt mal zu den "erfahrenen Nutzern " gemäß Ausgangsbeitrag; wenn mein Download-Ordner im Dock bounced, ohne dass ich was aktiv "ge-downloadet" habe und anschliessend eine App starten möchte, würde mir das schon unangenehm auffallen...
- davon abgesehen: mir fallen aber sofort auch Kollegen ein, bei denen das o.g. Szenario easy klappen würde. Ja, von daher ist die Mahnung auf Nachbesserung auf jeden Fall gerechtfertigt und ich will das Risiko nicht kleinreden
+1
Hot Mac
Hot Mac03.09.18 18:21
Ich habe gar kein Java.
Hilft das? 🤔
+1
lamariposa03.09.18 19:09
Hot Mac
Ich habe gar kein Java.
Hilft das? 🤔

Äh, echt jetzt???

O.k., nur für den Fall der Fälle: Nein, hilft nix!
Geht hier um „Javascript“. „Java“ ist was komplett anderes. Der Unterschied dürfte in etwa so groß sein wie der zwischen „Lammlachs“ und „Lachs“
+2
Hot Mac
Hot Mac03.09.18 19:12
Der „Lammlachs“ ist ein Fisch mit Fell, oder?
+6

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen