macOS 11.2: Apple entfernt wohl Firewall-Ausnahmen für die eigenen Apps

Was als neues Sicherheitsfeature gedacht war, entpuppte sich ziemlich schnell als Schwachstelle und sorgte zudem mindestens einmal bei Mac-Nutzern für erhebliche Probleme. In macOS 11 BigSur wollte Apple den Gatekeeper weiter verbessern, schoss dabei aber wohl übers Ziel hinaus. Das kalifornische Unternehmen schuf nämlich für viele hauseigene Apps und Systemprozesse eine Ausnahmeregel, diese lassen sich in der aktuellen Version des Betriebssystems nicht mehr von Dritthersteller-Firewalls blockieren.


Apples Apps haben stets Zugriff aufs Internet
Insgesamt 56 Einträge finden sich standardmäßig in einer Liste, welche in einer Systemdatei namens ContentFilterExclusionList abgelegt ist. Die darin enthaltenen Apps und Prozesse haben stets Zugriff aufs Internet, auch wenn Firewalls für macOS wie etwa LuLu, LittleSnitch oder Lockdown dies verbieten. Zudem lässt sich ihr Netzwerk-Traffic nicht überwachen. Zu Apples privilegierten Anwendungen gehören unter anderem der App Store und FaceTime sowie die Softwareaktualisierung, aber auch die Musik-App.

Massive Nebenwirkungen beim Gatekeeper
Zu den Systemprozessen, die Firewall-Sperren umgehen können, gehört auch der Gatekeeper. Dieses Sicherheitsfeature prüft bei jedem Start einer von Apple notarisierten Drittanbieter-App, ob diese noch im Originalzustand vorliegt, und kontaktiert hierfür einen von Apples Servern. Dadurch soll verhindert werden, dass sich etwa von Schädlingen modifizierte Anwendungen ausführen lassen. Genau das führte allerdings am Erscheinungstag von macOS 11 Big Sur zu massiven Nebenwirkungen: Der Gatekeeper-Server war überlastet, Apps wurden daher nicht mehr verifiziert und starteten nicht. Nutzer von Catalina konnten das Problem mit einer Firewallregel umschiffen, welche dem Gatekeeper den Internetzugriff verwehrte. Da dies in macOS 11 nicht möglich ist, wären die Apps in einem solchen Fall solange nicht zu benutzen, bis Apple die Serverprobleme behoben oder eine Zeitüberschreitung die Prüfung beendet hätte.

Ausnahmen können gefährliche Schwachstelle darstellen
Sicherheitsforscher wiesen zudem schon kurz nach dem Erscheinen von macOS 11 Big Sur darauf hin, dass die ContentFilterExclusionList eine gefährliche Schwachstelle darstellen könne. So meldete etwa Patrick Wardle, es sei Hackern ohne große Probleme möglich, ihre Schadsoftware in die Ausnahmeliste einzutragen. In einem solchen Fall entzöge sich eine Malware jeglicher Analyse des Netzwerk-Traffics und könnte so unbemerkt großen Schaden anrichten.

Apple hat offenbar ein Einsehen
Apple reagiert jetzt augenscheinlich auf die vor einigen Wochen aufgetretenen Probleme und wohl auch auf die Argumente und Fehlerberichte der Sicherheitsforscher. In der aktuellen zweiten Betaversion von macOS 11.2 sind die ContentFilterExclusionList und damit die Ausnahmen für hauseigene Apps nicht mehr enthalten. Entdeckt hat das einmal mehr Patrick Wardle. In einem aktuellen Blogbeitrag freut sich der Experte und Entwickler über Apples Entscheidung. Abzuwarten bleibt allerdings, ob auch die finale Ausgabe der neuen Version des Betriebssystems ohne die Ausnahmeregelung erscheint.

Kommentare

DTP
DTP14.01.21 17:23
Super Sache, Apple!
MTN
Abzuwarten bleibt allerdings, ob auch die finale Ausgabe der neuen Version des Betriebssystems ohne die Ausnahmeregelung erscheint.
Davon ist auszugehen. Warum denkt ihr, dass Apple das nicht machen würde?
+2
DTP
DTP14.01.21 17:26
Patrick bietet übrigens auch eine kostenlose OpenSource Firewall für MacOS an:
https://objective-see.com/products/lulu.html
+7
Metty
Metty14.01.21 17:32
Wenn das stimmt, dann wäre das eine sehr gute Entscheidung von Apple. Es gehört schon Größe dazu eine solche Fehlentscheidung einzugestehen und entsprechend rückgängig zu machen. Nicht umsonst konnte man in Foren schon vom neuen System "Big Surveillance" lesen.
0
Super8
Super814.01.21 17:40
Metty
Wenn das stimmt, dann wäre das eine sehr gute Entscheidung von Apple. Es gehört schon Größe dazu eine solche Fehlentscheidung einzugestehen und entsprechend rückgängig zu machen.

War das ironisch gemeint?
-2
sunni14.01.21 19:19
Aus den Release Notes:


Bleibt also drin.
*Dieser Tag kann Spuren von Müssen enthalten.
+1
Peter Eckel14.01.21 20:56
Sehr gut. Ich bin beruhigt, daß auch bei Apple (nach hinreichend Kritik) Einsicht einkehren kann.
Ceterum censeo liberum facierum esse delendam.
+2
iBert15.01.21 02:48
sunni
Aus den Release Notes:


Bleibt also drin.
Und das siehst du da wo?
ContentFilterExclusionList steht doch nirgendwo....
Objektiv ist relativ, subjektiv gesehen.
+1
Mecki
Mecki15.01.21 03:57
So meldete etwa Patrick Wardle, es sei Hackern ohne große Probleme möglich, ihre Schadsoftware in die Ausnahmeliste einzutragen.
AFAIK stimmt das nicht. Hier wurde nichts in die Ausnahmeliste eingetragen, sondern er hat lediglich einen Weg gefunden, wie er ein bereits auf der Liste befindliches Tool hat nutzen können für ihn bestimmte Netzwerkzugriffe auszuführen, die dann nicht blockiert wurden. Hier ist also eher das Problem, das Apple sich eingestehen muss, dass sie nie garantieren können, dass alle ihre eigenen Tools auf der Liste so sicher geschrieben sind, dass diese nicht für genau diesen Zweck "missbraucht" werden können. Als Analogie: Auch wenn man nur vertrauenswürdigen Personen einen Zweitschlüssel gibt, ist nicht gesichert, dass diese den Schlüssel nicht verlieren können oder ihnen jemand diesen entwendet. Allerdings war es immer möglich auch den Datenverkehr der Tools auf der Ausnahmeliste zu blockieren, nur eben nicht nach Tool, wohl aber nach Adresse und/oder Port (also per klassischer Firewall), denn die Ausnahme griff nur bei per Apps Firewalls wie eben LittleSnitch oder Lulu.
+5
Peter Eckel15.01.21 10:04
Mecki
sondern er hat lediglich einen Weg gefunden, wie er ein bereits auf der Liste befindliches Tool hat nutzen können für ihn bestimmte Netzwerkzugriffe auszuführen, die dann nicht blockiert wurden.
Und das ist eigentlich auch das viel größere Problem. Es ist egal, was auf der Liste steht, das Problem ist, daß es sie gibt.

In dem Moment, wo ich eine Hintertür einbaue (und nichts anderes war diese vermaledeite Ausschlußliste), habe ich die Büchse der Pandora geöffnet. Das muß im Ansatz unterbunden werden, und der Wegfall der Liste ist der einzig sinnvolle Schritt.
Ceterum censeo liberum facierum esse delendam.
+4
MetallSnake
MetallSnake15.01.21 11:15
iBert
Und das siehst du da wo?
ContentFilterExclusionList steht doch nirgendwo....


"Network Extension Content Filters can now monitor traffic from built-in binaries" ist doch ziemlich eindeutig?
Die Menschheit ist eine völlig außer Kontrolle geratene Primatenspezies.
+1
DTP
DTP15.01.21 11:57
Peter Eckel
In dem Moment, wo ich eine Hintertür einbaue (und nichts anderes war diese vermaledeite Ausschlußliste), habe ich die Büchse der Pandora geöffnet. Das muß im Ansatz unterbunden werden, und der Wegfall der Liste ist der einzig sinnvolle Schritt.
Und das ist laut Patrick noch nicht ganz klar: Wird die Liste komplett ignoriert (der richtige Ansatz) oder enthält die Liste einfach nur keine Einträge mehr (gefährlich).

Ich gehe ja davon aus, dass Apple die erste Option implementiert hat, laut Kommentar muss Patrick das aber noch untersuchen.
+3
Peter Eckel15.01.21 12:59
DTP
Ich gehe ja davon aus, dass Apple die erste Option implementiert hat, laut Kommentar muss Patrick das aber noch untersuchen.
Das ist genau das, was ich derzeit noch abwarte. Aber inzwischen bin ich ganz guter Dinge, demnächst die ersten Testsysteme mit Big Sur installieren zu können.
Ceterum censeo liberum facierum esse delendam.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.