macOS 11.2: Apple entfernt wohl Firewall-Ausnahmen für die eigenen Apps
Was als neues Sicherheitsfeature gedacht war, entpuppte sich ziemlich schnell als Schwachstelle und sorgte zudem mindestens einmal bei Mac-Nutzern für erhebliche Probleme. In macOS 11 BigSur wollte Apple den Gatekeeper weiter verbessern, schoss dabei aber wohl übers Ziel hinaus. Das kalifornische Unternehmen schuf nämlich für viele hauseigene Apps und Systemprozesse eine Ausnahmeregel, diese lassen sich in der aktuellen Version des Betriebssystems nicht mehr von Dritthersteller-Firewalls blockieren.
Apples Apps haben stets Zugriff aufs InternetInsgesamt 56 Einträge finden sich standardmäßig in einer Liste, welche in einer Systemdatei namens ContentFilterExclusionList abgelegt ist. Die darin enthaltenen Apps und Prozesse haben stets Zugriff aufs Internet, auch wenn Firewalls für macOS wie etwa LuLu, LittleSnitch oder Lockdown dies verbieten. Zudem lässt sich ihr Netzwerk-Traffic nicht überwachen. Zu Apples privilegierten Anwendungen gehören unter anderem der App Store und FaceTime sowie die Softwareaktualisierung, aber auch die Musik-App.
Massive Nebenwirkungen beim GatekeeperZu den Systemprozessen, die Firewall-Sperren umgehen können, gehört auch der Gatekeeper. Dieses Sicherheitsfeature prüft bei jedem Start einer von Apple notarisierten Drittanbieter-App, ob diese noch im Originalzustand vorliegt, und kontaktiert hierfür einen von Apples Servern. Dadurch soll verhindert werden, dass sich etwa von Schädlingen modifizierte Anwendungen ausführen lassen. Genau das führte allerdings am Erscheinungstag von macOS 11 Big Sur zu massiven Nebenwirkungen: Der Gatekeeper-Server war überlastet, Apps wurden daher nicht mehr verifiziert und starteten nicht. Nutzer von Catalina konnten das Problem mit einer Firewallregel umschiffen, welche dem Gatekeeper den Internetzugriff verwehrte. Da dies in macOS 11 nicht möglich ist, wären die Apps in einem solchen Fall solange nicht zu benutzen, bis Apple die Serverprobleme behoben oder eine Zeitüberschreitung die Prüfung beendet hätte.
Ausnahmen können gefährliche Schwachstelle darstellenSicherheitsforscher wiesen zudem schon kurz nach dem Erscheinen von macOS 11 Big Sur darauf hin, dass die ContentFilterExclusionList eine gefährliche Schwachstelle darstellen könne. So meldete etwa Patrick Wardle, es sei Hackern ohne große Probleme möglich, ihre Schadsoftware in die Ausnahmeliste einzutragen. In einem solchen Fall entzöge sich eine Malware jeglicher Analyse des Netzwerk-Traffics und könnte so unbemerkt großen Schaden anrichten.
Apple hat offenbar ein EinsehenApple reagiert jetzt augenscheinlich auf die vor einigen Wochen aufgetretenen Probleme und wohl auch auf die Argumente und Fehlerberichte der Sicherheitsforscher. In der aktuellen zweiten Betaversion von macOS 11.2 sind die ContentFilterExclusionList und damit die Ausnahmen für hauseigene Apps nicht mehr enthalten. Entdeckt hat das einmal mehr Patrick Wardle. In einem aktuellen
Blogbeitrag freut sich der Experte und Entwickler über Apples Entscheidung. Abzuwarten bleibt allerdings, ob auch die finale Ausgabe der neuen Version des Betriebssystems ohne die Ausnahmeregelung erscheint.