Sicherheitslücke soll angeblich Umgehung von Gatekeeper ermöglichen

Schon seit macOS 10.5 sorgt Apple mit der Schutzfunktion Gatekeeper dafür, dass aus dem Internet heruntergeladene Software nicht ohne weiteres gestartet werden kann. Ein italienischer Sicherheitsexperte will nun herausgefunden haben, dass sich dieser Mechanismus umgehen lässt. Allerdings liegt die Hürde für mögliche Angreifer relativ hoch.


Gatekeeper schützt nur interne Massenspeicher
Kern des Problems ist Filippo Cavallarin zufolge die Tatsache, dass Gatekeeper nur interne Massenspeicher schützt. Externe Festplatten und Netzlaufwerke betrachte die Schutzfunktion als sicher. Die Ausführung von Programmen, die dort abgelegt seien, erlaube Gatekeeper daher auch dann, wenn sie nicht von Apple signiert seien. Angreifer könnten daher laut Cavallarin, der für das italienische Sicherheitsunternehmen Segment arbeitet, Schadcode auf einen Mac schleusen.


Symlink führt zur Malware
Bei seinem Exploit nutzte Cavallarin zwei in macOS enthaltene Features, die jedes für sich zunächst kein Problem darstellen: Das automatische Mounten eines Netzlaufwerks mittels einer speziellen Pfadangabe und die Möglichkeit, in einer ZIP-Datei einen symbolischen Link (Symlink) zu speichern. Um die Lücke zu demonstrieren, legte der Sicherheitsforscher daher in einem solchen File einen Link auf ein unter seiner Kontrolle stehendes externes NFS-Verzeichnis ab, in dem ein ausführbares Programm lag, in diesem Fall der Aufruf der Shell im Terminal. Dieses konnte er dann unter Umgehung von Gatekeeper starten.

Angriff erfordert Aktionen des Benutzers
Ein Angreifer, der diese Lücke ausnutzen will, ist allerdings auf die tatkräftige Mithilfe des Benutzers angewiesen; eine automatische Ausführung von Schadcode ist auf diese Art und Weise nicht möglich. Das potenzielle Opfer muss nämlich die infizierte ZIP-Datei erst einmal herunterladen und entpacken. Anschließend muss der Nutzer den Symlink und damit das externe Verzeichnis im Finder öffnen und schließlich die darin enthaltene Anwendung starten. Die Hürde für einen erfolgreichen Abschluss des Angriffs liegt also relativ hoch.

Kommentare

Keine Kommentare vorhanden.

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen