macOS Ventura und Sicherheit: Apple erweitert Schutzfunktion für Apps um neues Attribut
macOS verfügt mit Gatekeeper über einen Malware-Schutz, welcher die Ausführung von Apps aus unsicheren Quellen blockiert. Das seit vielen Jahren in Apples Betriebssystem enthaltene Tool prüft unter anderem aus dem Internet heruntergeladene Programme beim ersten Aufruf darauf, ob sie vom Entwickler korrekt signiert und von Apple notarisiert wurden. Ist beides nicht der Fall, gibt der Torwächter einen Warnhinweis aus und der Nutzer muss den Start der Anwendung ausdrücklich erlauben. Bis zu diesem Zeitpunkt befindet sich die App in Quarantäne, diese verhängt macOS unmittelbar nach dem Herunterladen durch das Setzen eines erweiterten Attributs namens „com.apple.quarantine“.
Quarantäne-Attribut sorgt für WarnhinweisDas Extended Atrribute (xattr) enthält diverse Informationen, etwa den Zeitpunkt des Setzens, den Verweis auf einen Eintrag in der Datenbank namens „QuarantineEvents“ sowie natürlich den Quarantäne-Status. Das entsprechende Flag wird geändert, wenn Gatekeeper die App überprüft und der Nutzer sie gegebenenfalls freigegeben hat, sie also einmal erfolgreich gestartet wurde. Anschließend verhält sich die Anwendung wie ein Programm, welches man aus dem App Store, also einer sicheren Quelle, heruntergeladen hat, Warnhinweise gehören folglich der Vergangenheit an.
macOS Ventura legt zusätzliches erweitertes Attribut anDie Entlassung einer App aus der Quarantäne wurde bislang vom Betriebssystem nicht an einer anderen Stelle vermerkt, etwa in der bereits genannten Datenbank. Das hat sich in macOS Ventura geändert, wie Howard Oakley jetzt herausgefunden hat. Apples aktuelle Betriebssystemversion legt nämlich nach der Überprüfung einer App ein zusätzliches erweitertes Attribut namens „com.apple.provenance“ an. Es enthält einem
Blogbeitrag des Entwicklers zufolge einen 11 Byte langen binären Verweis auf den erfolgreichen Check. Dieser wird durch die System Integrity Protection (SIP) geschützt, lässt sich also nur entfernen, wenn man SIP deaktiviert.
Zweck von com.apple.provenance derzeit unbekanntApple hat das neue erweiterte Attribut nicht dokumentiert. Sinn und Zweck von com.apple.provenance sind derzeit folglich nicht bekannt. Oakley konnte bislang auch nicht herausfinden, ob und gegebenenfalls wie es von macOS ausgewertet und genutzt wird. Möglicherweise handelt es sich um eine Vorbereitung auf zusätzliche Sicherheitsfeatures, welche das Unternehmen zukünftig in Gatekeeper integrieren will.