Trojaner, Malware und Info-Stealer gibt es inzwischen auch auf dem Mac. Zwar hat Apple stets viel unternommen, um die Sicherheit von macOS zu gewährleisten. Deshalb sind Viren und Würmer, also selbstreplizierende Angriffe, immer noch recht selten auf Macs anzutreffen. Doch durch Apps, Multimedia-Dateien und Dokumente können sich auch Apple-Nutzer unverhofft Skripte einfangen, welche persönliche Informationen, Krypto-Wallets und Kennwörter ausspionieren und automatisiert versenden. Mit den richtigen Methoden überprüfen Sie Downloads und Dokumente, bevor diese mit Ihren persönlichen Dateien in Kontakt kommen. Howard Oakley beschreibt zwei Wege, mit denen dies gelingen kann.


Beide Methoden basieren darauf, das entsprechende Dokument in einer geschützten Umgebung zu öffnen, um deren Verhalten zu beobachten oder Inhalte zu extrahieren. Auf einem Mac mit Apple Silicon ist es vergleichsweise einfach, eine Virtuelle Maschine (VM) aufzusetzen. Apples Dateisystem APFS erleichtert es zudem, eine bestehende VM ressourcenschonend zu klonen, um eine Einmalkopie zu erzeugen. Oakley stellt für diesen Zweck zwei Programme bereit, welche bei der Erzeugung und beim Betrieb von VMs behilflich sind: Viable und die Sandbox-Variante ViableS.

VM anlegen mit Viable
Oakley empfiehlt für eine möglichst sichere Analyse ein mehrstufiges Verfahren, um Downloads zu analysieren und Inhalte zu extrahieren. Der erste Schritt besteht darin, eine VM auf macOS-Basis aufzusetzen. Dazu kommt die Standard-Version von Viable zum Einsatz – ein dem Download beiliegendes PDF erklärt die Vorgehensweise. Die resultierende VM-Datei ist über 20 GByte groß. Im zweiten Schritt duplizieren Sie diese Datei im Finder. Hier macht sich eine Eigenschaft von APFS vorteilhaft bemerkbar: Der Klon ist zwar ebenso groß wie das Original, belegt aber zunächst keinen weiteren Speicherplatz auf der SSD.

Kopie einrichten
In Viable klicken Sie nun auf „Start VM…“ und wählen die Kopie aus, arbeiten sich durch den Einrichtungsassistenten und installieren zusätzliche Software, welche Sie für Ihre Testumgebung benötigen. Oakley empfiehlt beispielsweise seinen PDF-Reader Podofyllin. In der Einstellungen-App innerhalb der VM legen Sie unter „Benutzer & Gruppen" Sie im Anschluss einen neuen Benutzer an, bei dem Sie die Option „Anwender darf diesen Mac verwalten“ deaktiviert lassen. Wechseln Sie in dieses neue Konto und spielen Sie ebenfalls den Einrichtungsassistenten durch – das Einrichten des Apple-Accounts überspringen Sie dabei. Über geteilte Ordner können Sie dann Dateien oder Downloads vom Host-System übertragen, welche einer Untersuchung unterzogen werden sollen. Danach beenden Sie die Virtuelle Maschine und das Programm „Viable“.


Weiter in der Sandkiste
Anschließend starten Sie dieselbe VM, allerdings aus der App „ViableS“ heraus. Hierbei sind sämtliche Verbindungen zum gastgebenden macOS unterbunden, ein Dateiaustausch ist nicht möglich. Wenn hierin noch Downloads erfolgen sollen, empfiehlt Oakley einen ersten Start mit aktiviertem Netzwerk (z.B. „Wi-Fi“), um dann mit dem Standard-Account die entsprechenden Objekte herunterzuladen (beispielsweise aus einem Webmail-Interface oder einer App-Download-Seite). Anschließend beenden Sie die VM, um sie ohne Netzwerk wieder hochzufahren. In diesem Zustand ist die VM nun maximal abgekapselt. Nun können Sie Dateien öffnen oder Apps starten, um Inhalte auszulesen beziehungsweise verdächtige Programme zu untersuchen. Nach vollendeter Analyse löschen Sie die zweite VM-Datei – und erzeugen bei Bedarf eine Kopie des Originals, um eine unberührte macOS-Version zu simulieren.


Alternative Dangerzone
Geht es nur um Textdokumente, etwa Word-Dateien oder PDFs, nennt Oakley eine zweite Möglichkeit, welche insbesondere Journalisten zu Gute kommen könnte: Das kostenlose Programm Dangerzone liest weitverbreitete Dokumente ein, erzeugt automatisiert Bilddateien für die einzelnen Seiten, um diese dann einer Texterkennung zu unterziehen. Dangerzone erzeugt. Auch dieser Ansatz basiert auf einer VM (genau gesagt einem Podman-Container), weshalb das Programm 2,2 GByte Speicherplatz beansprucht – das ist jedoch nur ein Zehntel einer macOS-VM. Wem es nur darauf ankommt, Dateien in ein sicheres PDF zu transferieren, spart mit Dangerzone viel Zeit und Speicherplatz. Ganz vorsichtige installieren Dangerzone einfach innerhalb einer macOS-VM.