Ich weiß schon, warum ich nichts, als die integrierte Firewall und Apps aus dem Store nutze.

Wer sich Cracks oder ähnliches (u.a. Torrent Netzwerken) lädt, dem geschieht es nicht anders. Wenn man App’s aus dem App Store oder von vertrauenswürdigen Webseiten kauft, dann ist man fein raus und man unterstützt die Arbeiten der jeweiligen Entwicklern. Die Ideen und der dazugehörige Programmieraufwand muss bezahlt werden. ☺️

Weil sie auch keine lauffähigen Programme sind. Auch mit Mono ist eine EXE Datei nicht direkt am Mac lauffähig, sondern das Mono Framework öffnet die EXE Datei, lädt Code aus ihr und führt diesen Code dann aus. Und das Mono Framework ist korrekt signiert und deswegen lässt Gatekeeper es auch gewähren. Nur bietet Mono eben keine Sandbox und Mono führt auch keine Signaturprüfung durch (sind EXE Dateien überhaupt signiert?)

Das ist so wie wenn man einen Schädling in Python schreibt. Man muss das Skript nicht ausführbar machen oder ihm die Endung .py geben. Gatekeeper wird das Skript dann garantiert nicht prüfen und Skripte sind sowieso nie signiert. Dennoch lässt sich das Skript ausführen über den Python Interpreter und der ist ja korrekt signiert, sogar von Apple, ergo lässt Gatekeeper den auch gewähren, der lädt dann das Skript und arbeitet dann die Anweisungen ab und das Skript darf dann alles tun, was der Python Interpreter darf.

Davor kann und wird Gatekeeper nie schützen können und das ist der Grund, warum Apple unter iOS verbietet, dass eine App Code nachladen darf, auch dann nicht, wenn dieser nicht direkt ausführbar ist z.B. ein C64 Emulator lädt C64 Code nach - auch das ist verboten, obwohl ja C64 Code nicht direkt lauffähig auf einem iPhone ist, aber eben durch den Emulator lauffähig wird. Und Mono ist sozusagen ein crossplattform .NET Emulator, wenn man so möchte.

Q:
Q:

Golem (12.02.2019): Schadsoftware: Mac mit .exe-Datei infizieren
Eine Windows-Schadsoftware für den Mac: Durch einen Trick lässt sich eine .exe-Datei auf dem Mac ausführen - und damit die Schutzfunktion Gatekeeper umgehen.

ars technica (11.02.2019): Hackers keep trying to get malicious Windows file onto MacOS
Clever trick may be ham-fisted attempt bypass Gatekeeper protections built into macOS.

aber woher bekomme ich denn ein gefälschtes LittleSnitch Paket? Wohl kaum vom Hersteller oder?

verstaerker

Von Torrent-Seiten, wird im originalen Artikel auf der trendmicro Seite genannt.

Ist es denn prinzipiell möglich den Namen des Mono-Frameworks zu ändern, oder funktioniert die Signatur dann nicht mehr?

Auf jeden Fall kann es nicht schaden, bei einem aus dem Netz geladenen Installer bzw. Programm per Rechtsklick den Paketinhalt zu überprüfen, ob ein Ordner „MonoBundle“ und/oder eine *.exe enthalten ist…

Angreifer könnten den legalen Download auf der Herstellerseite manipulieren (bei Handbrake vor einiger Zeit passiert). Außerdem ist es möglich, dass so eine App fälschlicherweise auch für den App Store zugelassen werden könnte.

Mit „Ich kaufe nur legal und nach mir die Sintflut” löst man das Problem. macOS hat hier ganz offensichtlich eine Schwachstelle, die gefixt werden muss. Dass man bei Torrents und Co. natürlich eine wesentlich höhere Gefahr hat, sich sowas ins Haus zu holen, sollte jedem klar sein. Dann braucht es aber auch die Monovariante nicht, da bei manipulierten Apps ganz einfach das Adminpasswort abgefragt wird. Da bringt auch Gatekeeper nichts (also für unsere Piratenfreunde).

Bereits beantwortet. Schau mal oben.... 😉

Doch, zuweilen auch von dort, wenn dessen Website zum Beispiel gehackt und ihm präparierte Software im Download-Bereich untergeschoben wird, die er dann unwissentlich weiterverteilt, so geschehen z.B. 2016 bei Transmission , .

Apple verteilt übrigens ebenfalls die eine oder andere maliziöse App (inzwischen sind's so einige und nicht wenige, die von anderen gefunden worden sind und immer wieder werden) über seinen Mac- oder iOS AppStore bzw. hat immer mal wieder. Trotz angeblicher vorheriger Kontrolle durch sie selbst (eigenartigerweise stoßen immer nur andere von außen kommend drauf, wenn sie es mal genauer überprüfen – Apple leider offenbar nie selbst bzw. regelmäßig nicht selbst).
Apples AppStore-Konzept und die dort und in seinen Betriebssystemen eingezogenen Sicherheitsmechanismen versagen da regelmäßig auf kompletter Linie.

Mecki:
Ja, das ist die allgemeine Krux daran, dass man Code einmal für viele Plattformen machen möchte - sonst müsste man zusätzliche Entwickler einstellen, die für diese Plattformen nativen Code entwickeln können. Das Beispiel für Python ist da ganz passend, geht auch mit PERL, Shell Script etc. Noch perfider geht es mit den Install-Skripten eines PKG-Installer. Die werden unter Umständen mit Admin-Rechten ausgeführt und können dann fast alles machen, was sie trotz SIP tun können, falls SIP aktiviert ist. Ein "rm -rf /" im Pre-Install-Skript kann schon vieles löschen, wenn das PKG nur geöffnet wurde.
Das kritische mit .NetCore/Mono ist nur, dass eine Unmenge von mehr oder minder begabten Malware-Entwicklern ihren Code von Windows auf macOS portieren können. Somit ist .NetCore/Mono ein Sicherheitsrisiko, welches Microsoft jetzt auf konkurrierende Plattformen los lässt - so wie früher Adobe das mit ihrem Flash getan hatte.
Übrigens - für Windows gibt es Authenticode, ähnlich zu Codesign bei Apple - und das funktioniert auch für .Net. Zudem hat .Net intern noch ein paar weitere Sicherheitsmechanismen. Die sind nicht perfekt - es wird nie perfekte Lösungen geben. Diese Mechanismen sind aber bei Mono nicht implementiert, teilweise auch, weil damit Urheberrechte von Microsoft verletzt worden wären. Im Übrigen benutzen sehr viele Spiele, die mit dem Unity-Framework gebaut wurden, ebenfalls Mono und bieten daher die gleichen Angriffsflächen. Es wundert da schon, dass Unity-Spiele auf iOS verfügbar sind - aber da wird der Code nicht nachgeladen. Müsste Malware aber auch nicht tun um Schaden anzurichten. Immerhin läuft der Code dann wenigstens in einer Sandbox.
Ich warte dann noch auf die nächste Warnung zu Apps die mit Electron/Node.js o.ä. gebaut wurden. Die funktionieren mit JavaScript via WebKit - und das ist auch nicht ohne Lücken.

Also wenn, dann müsste man nicht nur davor warnen, sich Software aus dubiosen Quellen zu beschaffen - sondern auch vor Software, die nicht mit Xcode entwickelt wurde. Illegale Beschaffung von Software ist ansonsten nicht die Ursache für Malware, nur ein Infektionsweg - wie bereits erwähnt kann man sich auch über legale Kanäle infizieren. So wie ausschweifende Sexualität nicht die Ursache für AIDS ist - mangelnder Schutz aber die Ausbreitung beschleunigt. Kondome schützen - Regierungen nicht. Dieses Bild übertragend kann Apple keinen 100% Schutz bieten, Apple kann nur Hilfsmittel anbieten, Aufklärung leisten, etc. - schützen muss sich der Anwender mit einer Art Kondom für sein Verhalten und seine Gier im Internet selbst. Früher nannte man das Eigenverantwortung, die ist aber manchmal unbequem. Wenn man einen Fehler beging, dann musste man ihn ausbaden und hat hoffentlich was daraus gelernt.

Interessant, dass es im Mac App Store scheinbar nicht verboten ist. Denn mit WinOnX gibt es ja einen Windows-Emulator im Mac App Store.

WinOnX lädt keinen Code nach. WinOnX ist nur eine Emulator und den Code musst du ihm selber füttern, wo auch immer du den dann her hast. Emulatoren sind nicht verboten, auch nicht unter iOS, ausführbaren Code aus dem Netz laden ist verboten. Ausnahme ist JavaScript von Webseiten und hier sagt Apple unter iOS, dass du das nur mit WebKit machen darfst, also mit ihrer eigenen JS Engine.

Naja, wenn sie selbst auf Malware stoßen (das wird wahrscheinlich täglich sein), werden wir das einfach nicht erfahren. Das ist halt so – die Arbeit vom Verfassungsschutz und BND bekommen wir ja auch nur mit, wenn sie mal Mist bauen.