macOS gilt – etwa gegenüber Windows – als vergleichsweise sicheres Betriebssystem, was die Gefährdung durch Malware betrifft. Böse Zungen behaupten zwar immer wieder, das läge an der relativ geringen Verbreitung des Mac-Betriebssystems, was es für Angreifer wenig attraktiv erscheinen lasse. Diese Auffassung teilt man in Cupertino ganz offensichtlich nicht – ganz im Gegenteil: Apple betreibt nämlich seit Jahren einigen Aufwand, um macOS gegen Attacken zu sichern und Schadsoftware von Macs fernzuhalten. Das System verfügt mit XProtect, XProtect Remediator, Malware Removal Tool und Gatekeeper gleich über mehrere entsprechende Komponenten (siehe ).


Apps mit Quarantäne-Flag erhalten spezielle Behandlung
Gatekeeper ist bereits seit macOS 10.8 Mountain Lion dafür zuständig, bei Apps die Spreu vom Weizen zu trennen. Der Türsteher prüft unter anderem jede aus dem Internet heruntergeladene Anwendung darauf, ob sie ein gültiges Entwicklerzertifikat sowie ein von Apple ausgestelltes „Notarization Ticket“ aufweist. Ist beides nicht der Fall, versieht Gatekeeper die App mit einem Quarantäne-Flag, der Nutzer erhält in diesem Fall einen Warnhinweis und muss den Start des Programms explizit erlauben. Allerdings wird die App in einem solchen Fall einer speziellen Behandlung unterzogen: Sie wird nicht aus dem Programmverzeichnis heraus ausgeführt, sondern landet zunächst mithilfe eines von Apple als „Gatekeeper Path Randomization“ oder „App Translocation“ bezeichneten Verfahrens in einem zufällig ausgewählten und schreibgeschützten Bereich der Volumengruppe.

Gatekeeper verhindert Nachladen von Plugins
Durch diese Maßnahme soll Gatekeeper unter anderem verhindern, dass möglicherweise schädliche Plugins automatisch nachgeladen werden. Wann „App Translocation“ eingesetzt wird und wie das Feature funktioniert, dokumentiert Apple allerdings nicht. Seit einer sieben Jahre alten Analyse von Jeff Johnson sind jedoch die drei Kriterien bekannt, welche die „Path Randomization“ auslösen:

• die App ist mit dem Quarantäne-Flag versehen,
• wird durch die Launch Services, also üblicherweise den Finder, gestartet
• und wurde nicht mithilfe des Finders aus dem ursprünglichen Download-Ordner an einen anderen Ort verschoben.

Modifizierte „App Translation“ in macOS Ventura
In macOS Ventura hat Apple diese Schutzvorkehrung leicht modifiziert, wie Howard Oakley jetzt herausfand. Der nicht unbekannte Entwickler ermittelte, dass die dritte Bedingung fallengelassen wurde. Auch nach dem Verschieben einer App fand die „Path Randomization“ statt, schreibt er in einem aktuellen Blogbeitrag auf „The Eclectic Light Company“. Allerdings ist das Verhalten des Gatekeepers in dieser Hinsicht laut Oakleys Beobachtungen nicht konsistent: Eine Anwendung, welche bereits aus der Quarantäne entlassen wurde, unterwarf macOS dennoch der „App Translocation“; bei zwei anderen war das nicht der Fall. Ob Apple hierbei nach dem Zufallsprinzip operiert oder das Feature einen Bug aufweist, ist nicht bekannt.