Apple OS X: Sicherheitstools lassen sich einfach umgehen

XProtect erkennt bekannte Malware nicht mehr, sobald ihr Hash-Wert verändert wurde und Gatekeeper lässt sich durch das nachträgliche Herunterladen von Schadcode austricksen. Außerdem verweist Sicherheitsforscher Wardle auf mehrere Kernel-Lücken.

Wie sich die von Apple in OS X integrierten Sicherheits-Tools aushebeln lassen, um Malware auszuführen, hat der Sicherheitsforscher Patrick Wardle, Director of Research bei Synack, auf der RSA-Konferenz in San Francisco eindrucksvoll demonstriert (PDF). Wardle sagte einem Bericht von ThreatPost zufolge: „Für einen Angreifer ist das Umgehen der Sicherheits-Tools eines Macs etwas alltägliches. Wenn Macs absolut sicher wären, würde ich nicht diesen Vortrag halten.“

Apples Virenscanner XProtect lässt sich durch einfaches Rekompilieren oder Umbennnen einer Malware austricksen (Bild: Patrick Wardle/Synack)

Apples Virenscanner XProtect lässt sich durch einfaches Rekompilieren oder Umbennnen einer Malware austricksen (Bild: Patrick Wardle/Synack)

Es handelt sich bei den beiden Sicherheitsanwendungen um Apples Gatekeeper und XProtect. Letzteres ist der seit OS X 10.6. Snow Leopard enthaltene signaturenbasierte Malwareschutz. Er blockiert bestimmte Apps und Plug-ins, die als Schadsoftware bekannt sind.

Apple hatte Gatekeeper 2012 mit OS X 10.8 Mountain Lion eingeführt. Das Tool fungiert wie ein „Torwächter“ und soll verhindern, dass Nutzer „unwissentlich bösartige Software herunterladen und installieren“. Laut Wardle prüft Gatekeeper eine App aber nicht kontinuierlich. „Wenn ich also eine von Apple genehmigte App nehme und sie dazu bringe, externe Inhalte zu laden, wenn sie vom Nutzer ausgeführt wird, dann umgeht sie Gatekeeper“, erklärte Wardle.

XProtect lasse sich durch ein erneutes Kompilieren einer Malware, wodurch sich deren Hash-Wert ändere, oder auch einfaches Umbenennen austricksen, so Wardle weiter. Die Sandbox-Funktion von XProtect sei zwar „effektiv“, sie könne aber durch mehrere bekannte Kernel-Schwachstellen umgangen werden. Auch gängige Antiviren-Lösungen für den Mac sind Wardle zufolge nicht in der Lage, Schadsoftware effektiv abzuwehren. Ein von ihm entwickelte Demo-Malware, die kontinuerlich Daten an einen bestimmten Server sendet, wurde von keinem der mehr als zehn getesteten Sicherheitslösungen erkannt. Mac-Nutzern empfielt der Sicherheitsspezialist die Verwendung seiner kostenlosen Tools KnockKnock und BlockBlock. Ersteres sendet zur Überprüfung die Hashwerte aller automatisch gestarteten Programme an VirusTotal. Der Hintergrunddienst Block Block überwacht die von bekannter Malware genutzten Stellen im System und alarmiert den Nutzer, sobald diese von einer Software genutzt werden.

Malware für Apples Desktop-Betriebssystem ist zwar sehr selten, Hacker nehmen aber immer wieder auch OS-X-Nutzer ins Visier. Ende vergangenen Jahres wurde beispielsweise eine WireLurker genannte Schadsoftware über einen chinesischen App Store verbreitet. Sie wurde benutzt, um iOS-Geräte zu infizieren, was laut Untersuchungen von Palo Alto Networks auch mit nicht-gejailbreakten iPhones möglich war. Da dies zuvor nur mit entsperrten Geräten möglich war, sprach das Unternehmen sogar von einer „neuen Ära von iOS-Malware„.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Apple OS X: Sicherheitstools lassen sich einfach umgehen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *