Apple hat den Malware-Schutz von macOS in den vergangenen Jahren kontinuierlich verbessert. Mit Gatekeeper, XProtect und XProtect Remediator verfügt das Mac-Betriebssystem mittlerweile über eine ganze Reihe von Sicherheitskomponenten. Im Zusammenspiel arbeiten diese ähnlich wie eine klassische Anti-Viren-Lösung und sind in der Lage, Schadsoftware aufzuspüren und gegebenenfalls auch zu entfernen. Hundertprozentigen Schutz können diese Maßnahmen allerdings naturgemäß nicht bieten. Das zeigt eine mittlerweile glücklicherweise behobene Schwachstelle in einem praktischen Systemtool, welches in macOS enthalten ist.


Bug in der Archiv-App ermöglichte Malware-Angriffe
Die Sicherheitslücke schlummerte in der Komponente, welche für das Öffnen und Entpacken von komprimierten Archiven zuständig ist. Sie ermöglichte es Angreifern, Schadsoftware an Gatekeeper vorbei auf einen Mac zu schleusen. Hierfür mussten sie ihre Malware lediglich in ein Archiv mit Apples proprietärem Format („Apple Archive“, AAR) integrieren. Wird eine solche Datei aus dem Internet heruntergeladen, versieht das Mac-Betriebssystem diese normalerweise wie alle anderen derartigen Files mit dem erweiterten Attribut „com.apple.quarantine“. macOS führt dann eine Überprüfung durch, wenn die Datei geöffnet werden soll, und gibt einen entsprechenden Warnhinweis aus. Das gilt auch für alle in einem Archiv enthaltenen und auf dem Mac entpackten Inhalte.

Fehlendes Quarantäne-Attribut bremste Gatekeeper aus
Die Sicherheitsforscher von Jamf Threat Labs fanden jedoch vor einigen Monaten heraus, dass dieser Mechanismus in macOS Monterey 12.5 einen Bug aufwies. Als sie nämlich ein Apple Archive mit einer Bilddatei erstellten, welche direkt in den Bilder-Ordner entpackt werden sollte, versah das Archiv-Tool des Betriebssystems diese beim Entpacken nicht mit dem Quarantäne-Attribut. Die Folge: Beim Öffnen blieb Gatekeeper untätig, weil der Torwächter sie nicht als ein aus dem Internet heruntergeladenes File identifizieren konnte. Die genaue Vorgehensweise und Details zur Lücke beschreibt Jamf Threat Labs in einem ausführlichen Blogbeitrag.

Apple hat Schwachstelle bereits mit Update behoben
Die Schwachstelle ließ sich auch mit bösartigen Apps ausnutzen, welche in einem Apple Archive enthalten sind. Die Malware wurde in einem solchen Fall ausgeführt, ohne dass eine Warnung durch Gatekeeper erfolgte, unter Umständen sogar bereits automatisch beim Öffnen einer entsprechend präparierten komprimierten Datei. Die Sicherheitsforscher meldeten die Lücke bereits Ende Mai dieses Jahres an Apple, das Unternehmen schloss sie daraufhin mit einem Update am 20. Juli.