Mit Apples Spiele-SDK gegen Viren und Trojaner: Neues Tool setzt auf GameplayKit

Sicherheitsexperte Patrick Wardle hat auf der RSA Conference 2019 ein interessantes Tool für macOS vorgestellt, das Malware und verdächtige Vorgänge auf dem jeweiligen Mac auf innovative Art und Weise aufspüren soll. Das Besondere: Die von Wardle entwickelte Software GamePlan nutzt Apples Framework GameplayKit, welches eigentlich nur für die Verwendung mit Spielen vorgesehen ist.


Spiele-Framework spürt Schädlinge auf
Der ursprüngliche Einsatzzweck von GameplayKit besteht unter anderem darin, dass Entwickler Regeln dafür festlegen können, wie Spiele auf bestimmte Aktionen des Anwenders innerhalb der Spielwelt reagieren. Konkret nutzt das macOS-Tool von Patrick Wardle bestimmte Features von GameplayKit dazu, verdächtige Aktivitäten auf dem Mac hinsichtlich potenzieller Gefahren zu überprüfen. Wardle erklärt die Funktionsweise der eigenen Anwendung anhand des Spieleklassikers Pac-Man: „Geister jagen Pac-Man – das ist eine Regel des Spiels. Wenn Pac-Man eine Energiekugel isst, laufen die Geister davon. Das ist eine weitere Regel.“

Das Set an Regeln, das GameplayKit Entwicklern zur Verfügung stellt, lässt sich Wardles Angaben zufolge auch auf andere Anwendungsbereiche übertragen. Eine der Vorgaben könnte etwa lauten: „Wenn eine Datei in einem bestimmten Ordner von einem Programm erstellt wurde, das von Apple nicht als sichere App zertifiziert ist, geht automatisch ein Systemalarm los.“ Auch beim Zugriff einer nicht-zertifizierten Anwendung zum Beispiel auf die Webcam eines MacBooks können Warnhinweise ausgelöst werden. Damit wäre von GamePlan eine der Anwendungsbereiche klassischer Virenscanner nachgebaut.

macOS Mojave scannt zwar bereits im Hintergrund automatisch nach Schädlingen und anderen Sicherheitsrisiken für das System – doch Programme wie GamePlan ermöglichen flexiblere und stärker an konkreten Nutzerbedürfnissen orientierte Überwachungen, die sich zudem manuell festlegen und anstoßen lassen. Wardle machte bei der Präsentation von GamePlan in San Francisco keine Angaben dazu, wann er das Programm veröffentlichen möchte.

Kommentare

Appletiser
Appletiser06.03.19 17:56
Coole Idee. Bin gespannt, was dabei raus kommt.
+3
sierkb06.03.19 19:36
Siehe dazu auch der Vortrag von Josh Stein und Jon Malm anlässlich der von Patrick Wardle (alle 3 bei Digita Security arbeitend) neu ins Leben gerufenen und am 03./04. November 2018 erstmalig stattgefunden habenden Objective by the Sea Conference (Mac Security Conference) auf Hawaii (der Heimat von Patrick Wardle), die nächste und diesjährige Objective by the Sea Conference findet am 01./02. Juni 2019 in Monte Carlo, Monaco statt: .

Kurzbeschreibung des Vortrags:
Objective by the Sea Conference 2018, Talks: Josh Stein / Jon Malm: Leveraging Apple's Game Engine for Advanced Threat Detection

Präsentationsfollie des Vortrags mit Details:
Jon Malm, Patrick Wardle, Josh Strein: What's Your Game Plan?
Leveraging Apple's Game Engine to Detect macOS Threats (PDF, 34 Seiten)
+5
Pandah07.03.19 15:22
sierkb
Siehe dazu auch der Vortrag von Josh Stein und Jon Malm anlässlich der von Patrick Wardle (alle 3 bei Digita Security arbeitend) neu ins Leben gerufenen und am 03./04. November 2018 erstmalig stattgefunden habenden Objective by the Sea Conference (Mac Security Conference) auf Hawaii (der Heimat von Patrick Wardle), die nächste und diesjährige Objective by the Sea Conference findet am 01./02. Juni 2019 in Monte Carlo, Monaco statt: .

Kurzbeschreibung des Vortrags:
Objective by the Sea Conference 2018, Talks: Josh Stein / Jon Malm: Leveraging Apple's Game Engine for Advanced Threat Detection

Präsentationsfollie des Vortrags mit Details:
Jon Malm, Patrick Wardle, Josh Strein: What's Your Game Plan?
Leveraging Apple's Game Engine to Detect macOS Threats (PDF, 34 Seiten)

Danke wiedermal für die umfangreichen Links sierkb!

Die heurige Session ist sponsored by (uA) CleanMyMac, Sophos etc?
Ich halte viel von Wardle und ich verstehe, dass Sponsorengelder für solche Events nötig sind, aber das ist unter aller Würde. Er sollte am besten wissen, was hinter CMM steckt und was Sophos und Co. an Problemen verursachen. Denen auf eine Plattform zu geben kann ich nicht nachvollziehen.
+1
sierkb07.03.19 17:07
Pandah
Ich halte viel von Wardle und ich verstehe, dass Sponsorengelder für solche Events nötig sind, aber das ist unter aller Würde.

Vielleicht sind sie ja besser als Deine persönliche Meinung es bislang zulässt? Die leisten in puncto Malware-Analyse und Grundlagenwissen- und Forschung durchaus gute Arbeit bzw. deren Expertise ist nicht minderwertig, auch die haben gute Leute und machen gute Analysen. Man ist in der Branche gegenseitig vernetzt, tauscht sich auf fachlicher Ebene aus, man kennt und trifft sich, lernt voneinander, gibt fachliches Wissen einander weiter – VirusTotal arbeitet sogar nur so, das ist einer der Kern-Vorteile von dieser Plattform und deshalb ein Muss für jeden, der sich da mit Security und Malware auseinandersetzt, da möglichst ein Teil von zu sein von der Community, um vom Wissen und den Infos, die da kursieren und untereinander weitergegeben werden, zu profitieren, schau' mal, wer da alles partizipiert am gegenseitigen Informationsaustausch bzw. partizipiert u.a. auch an VirusTotals Tool YARA (darunter u.a. auch Apple, ist zwar dort nicht aufgeführt, aber es ist bekannt, und Du kannst es in Deinem macOS auch selber überprüfen und sehen, dass auch sie dabei sind).
Er sollte am besten wissen

Eben. Und das solltest Du mal im Vordergrund sehen, dass er auch da genau weiß, mit wem er gemeinsam auftritt und sich sehen lässt. Und wenn er bzw. die Firma Digita Security – Cybersecurity solutions for the macOS workforce , der er beigetreten und deren Chief Research Officer (CRO) ist, diese Entscheidung gefällt hat, werden die bzw. er als deren CRO sich sicher was dabei gedacht haben und nicht jemanden mit schlechtem Leumund, schlechter Expertise nehmen.
was hinter CMM steckt und was Sophos und Co. an Problemen verursachen. Denen auf eine Plattform zu geben kann ich nicht nachvollziehen.

Einfach mal gedanklich und emotional von deren Software-Produkten lösen und weniger emotional betrachten. Wenn die da als Sponsor auftreten, heißt das noch lange nicht, dass damit Produktwerbung verbunden ist bzw. Du deren Produkte kaufen solltst, sondern es hat den fachlichen Hintergrund, den ich zuvor versucht habe deutlich zu machen: man tauscht sich aus, teilt Erkenntnisse und Wissen miteinander. Die ganze Sicherheits-Branche ist auf diese Weise miteinander vernetzt und tauscht sich aus. Völlig losgelöst und unabhängig von irgendwelchen konkreten Software-Produkten, die spielen bei sowas keinerlei Rolle. Auch SecurityHeaders war bis vor kurzem noch sponsored by Sophos (seit wenigen Wochen sponsored durch jemanden anderen – dessen eigene Firma) – hat mit Sophos' Software-Produkten null und nix zu tun gehabt, der Service und war auch keine Produktwerbung.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen