Standardmäßig sind auf dem Mac nur noch Apps ausführbar, welche entweder aus dem Mac App Store heruntergeladen wurden oder über eine gültige Signatur inklusive Notarisierung verfügen. Im Falle von Malware kann Apple in beiden Fällen ein Starten der App ohne Betriebssystem-Update verhindern, sodass eine infizierte App keinen Schaden mehr anrichten kann. Momentan ist es auch noch über Umwege möglich, nicht signierte Apps zu starten – doch es ist davon auszugehen, dass Apple diese Option in kommenden macOS-Versionen streicht, um die Sicherheit zu erhöhen.


Lädt der Nutzer ein ZIP-Archiv oder ein DMG mit einem Programm aus dem Internet herunter, markiert macOS die App automatisch mit einem sogenannten Quarantäne-Merkmal. Dies ist das Kommando für Gatekeeper, das Programm vor dem Starten auf Gültigkeit der kryptografischen Signatur zu überprüfen und den Nutzer zu fragen, ob er das Starten erlaubt. Daraufhin wird die Quarantäne-Markierung entfernt und bei künftigen Starts erspart sich Gatekeeper die Überprüfung.

Microsoft findet Sicherheitslücke
Im Juli 2022 fand die Sicherheitsabteilung von Microsoft eine Lücke bei der Überprüfung von Apps in macOS, welche raffiniert einen weiteren Mechanismus ausnutzt. Über ein bestimmtes Metadaten-Format namens "AppleDouble" ist es möglich, Zusatzinformationen in ZIP-Archiven oder DMG-Dateien zu speichern, welche unter anderem auch Access-Control-List-Informationen beinhalten können. Bei Access-Control-Lists (kurz ACLs) handelt es sich vereinfacht gesagt um erweiterte Informationen, welcher Nutzer wie auf Dateien zugreifen kann.

Sobald Safari oder ein anderes Programm eine App aus einem ZIP-Archiv entpackt hat, fügt dies automatisch der App das Quarantäne-Merkmal hinzu, sodass Gatekeeper beim ersten Start tätig wird. Microsoft aber gelang es, spezielle Metadaten im "AppleDouble"-Format zu erzeugen, welche mit im ZIP-Archiv gespeichert sind und ACLs beinhalten. Diese erlauben zwar das Ausführen des Programms, nicht jedoch das Setzen des Quarantäne-Merkmals. So konnten unsignierte Apps auf den Mac gelangen und gestartet werden, ohne dass Gatekeeper diese jemals überprüft hat.

Sicherheitslücke mittlerweile geschlossen
Die unter der Nummer CVE-2022-42821 gehandelte Lücke wurde von Apple mittlerweile geschlossen. Hat der Nutzer macOS 13 Ventura, macOS 12.6.2 Monterey oder macOS 11.7.2 Big Sur installiert, können ACLs nicht mehr das Setzen der Quarantäne-Informationen verhindern und Gatekeeper unterzieht die heruntergeladene App dem normalen Prüf-Verfahren. Für macOS Catalina oder noch frühere Informationen steht aber anscheinend kein Fix dieser Lücke bereit.