Apples Entwickler steckten im vergangenen Vierteljahrhundert eine Menge Aufwand in die Sicherheit des Betriebssystems. Die Transparency, Consent & Control-(TCC-)Richtlinien sind ein Resultat davon: Nutzer entscheiden, wann welche Programme auf allgemein nutzbare Ordner zugreifen dürfen, ansonsten sind sie auf ihre eigene Sandbox beschränkt. Doch für interne Zwecke und aus Gründen der komfortablen Bedienbarkeit gibt es Ausnahmen, welche wiederum für illegitime Zwecke ausnutzbar sind. Ein solches Beispiel dokumentieren die Software-Entwickler von Mysk: Im vergangenen Herbst entdeckten sie ein Sonderprivileg des „Archive Utility“. Sie meldeten es unverzüglich bei Apple. Trotzdem dauerte es fünf Monate, bis die Lücke geschlossen wurde.


Mysk fand zufällig heraus, dass das Programm „Archive Utility“ über einen Generalschlüssel verfügte: Das in /System/Library/CoreServices/Applications abgelegte Werkzeug hat Lese- und Schreibzugriff auf sämtliche Sandbox-Container, steht also jedem Programm als Komprimierungswerkzeug zur Verfügung. Dies stellt an sich noch keine Sicherheitslücke dar, denn Mysk gelang es nicht, das Resultat der Kompression an einen anderen Ort umzuleiten: Die Voreinstellung „archive-info“ (ein offensichtlicher Tippfehler, es sollte „archive-into“ heißen) ließ sich nicht beliebig ändern.

Sonderregel Dateizugriff
Doch für diesen Zweck konnten die Forscher eine Sonderform der Zugriffsregel verwenden, über die Howard Oakley in jüngster Vergangenheit berichtete: Eine Freigabe per „Intent“, welche in den erweiterten Attributen gespeichert wird und parallel zu den TCC-Freigaben existiert. Eine solche lässt sich beispielsweise per Drag-and-drop erteilen.

Gefährlich mit Skript
Eine gewiefte Attacke könnte mit vergleichsweise wenig Aufwand einen Anwender dazu bringen, die Daten seines Macs zu kompromittieren, argumentiert Mysk: Man müsse den Nutzer nur davon überzeugen, ein Terminal-Skript auszuführen, und dann ein Icon auf ein anderes zu ziehen. Sie visualisieren dies mittels selbst gestalteter Symbole, welche Anwendern verlockend erscheinen.


Behoben in macOS 26.4
Apple behob die Lücke mit dem Update auf macOS 26.4 und erwähnt die Lücke mit der offiziellen Bezeichnung CVE-2026-28910 in den Sicherheitshinweisen: „Eine schadhafte App kann möglicherweise auf willkürliche Benutzerdaten zugreifen“. Im Englischen wird die App „malicious“ genannt, was wohl besser mit „bösartig“ als mit "schadhaft“ übersetzt wäre. Mysk freut sich, dass Apple den Fehler anerkannt und behoben hat, wundert sich allerdings über die lange Bearbeitungszeit. Ob der Fehler auch in älteren Versionen von macOS zur Anwendung kommt, haben die Forscher nicht ausprobiert.

Nicht die erste Lücke in Archivierung
Bereits im Jahr 2022 musste Apple beim Archivierungsprogramm nachbessern: Sicherheitsforschern gelang es, eine ZIP-Datei so zu manipulieren, dass die ausgepackte Datei nicht der sonst üblichen Quarantäne unterzogen wurde. Apple behob den Fehler mit dem Update auf macOS 12.6.2 sowie 11.7.2.