Gatekeeper-Hack-Exploit ermöglicht Hackern, Malware auf Ihren Mac zu schleusen

Hacker können das Malware-Gatekeeper-Tool von Mac mit einem neuen Exploit ausnutzen und bösartige Apps installieren

Im Jahr 2012 führte Apple Gatekeeper als zusätzliche Sicherheitsebene für sein Mac OS X-Desktop-Betriebssystem ein. Diese Funktion wurde entwickelt, um selbst die fortschrittlichsten Benutzer daran zu hindern, versehentlich bösartige Software auf ihren Computern zu installieren. Gatekeeper überprüft das digitale Zertifikat einer Anwendung, die auf einem Mac installiert wird, um sicherzustellen, dass sie von einem genehmigten Entwickler signiert wurde oder der Download direkt aus dem Apple App Store stammt.

Es wurde jedoch festgestellt, dass Gatekeeper Hackern ermöglicht, Malware auf Ihren Mac zu schleusen, indem sie die berühmte Mac-Sicherheit vollständig umgehen. Mit einem speziell gestalteten Exploit sind Cyberangreifer in der Lage, eine bösartige Mac-App zu öffnen, selbst wenn sie so konfiguriert ist, dass sie nur solche öffnet, die aus dem App Store heruntergeladen wurden.

Der Exploit wurde von Patrick Wardle, Forschungsleiter bei der Sicherheitsfirma Synack, entdeckt. Wardle stellte fest, dass der Exploit aufgrund eines grundlegenden Designmangels in Gatekeeper möglich ist, der es einem Angreifer ermöglicht, eine bereits von Apple vertrauenswürdige Binärdatei zu verwenden, um bösartige Dateien auszuführen.

Wardle hat eine weit verbreitete Binärdatei gefunden, die bereits von Apple signiert ist und beim Ausführen eine separate App im selben Ordner startet. Aus Sicherheitsgründen wurden die Namen der Dateien nicht offengelegt. Daher nennen wir sie Binärdatei 1 und Binärdatei 2.

Was der Gatekeeper-Hack-Exploit tut, ist einfach: Er benennt Binärdatei 1 um und verpackt sie dann in ein Apple-Disk-Image. Da die umbenannte Binärdatei 1 bereits von Apple selbst signiert ist, wird sie sofort von Gatekeeper genehmigt und von OS X ausgeführt.

Nachdem der Zugriff auf das Kern-OS erlangt wurde, sucht Binärdatei 1 nach Binärdatei 2, die sich im selben Ordner befindet, der in diesem Fall das heruntergeladene Disk-Image ist. Da Gatekeeper nur die ursprüngliche Datei überprüft, auf die ein Endbenutzer klickt, tauscht Wardles Exploit die legitime Binärdatei 2 gegen eine bösartige aus und bündelt sie im selben Disk-Image unter demselben Dateinamen. Da Binärdatei 2 kein digitales Zertifikat benötigt, um ausgeführt zu werden, kann sie alles installieren, was der Angreifer möchte.

Eine ähnliche Methode funktioniert auch mit Plugins (zum Beispiel Photoshop-Add-Ons), die Gatekeeper umgehen können: Finden Sie eine App, die Plugins lädt, ersetzen Sie Ihre Malware durch eines dieser Plugins, und wieder ignoriert Gatekeeper dies.

Diese gebündelten Dateien können verschiedene Arten von Malware installieren, einschließlich Passwort-Logger, Apps, die Audio und Video erfassen können, und Botnet-Software.

Der Gatekeeper-Hack-Exploit funktioniert auf allen Mac OS X-Versionen, einschließlich El Capitan und Yosemite. Wardle erklärte, dass er seinen Exploit erfolgreich auf der Beta-Version von El Capitan testen konnte.

In Bezug auf Sicherheit und Datenschutz machte Patrick Wardle einen guten Punkt, indem er sagte:

„Wenn ich es finden kann, müssen Sie davon ausgehen, dass Gruppen von Hackern oder ausgeklügeltere Nationalstaaten ähnliche Schwächen gefunden haben. Ich bin mir sicher, dass es auch andere von Apple signierte Apps gibt, die ebenfalls missbraucht werden können, um Gatekeeper zu umgehen.“

Wardle sagt, dass die Schwachstelle vor 60 Tagen gemeldet wurde und plant, seine Ergebnisse am Donnerstag auf der Virus Bulletin International Conference in Prag zu präsentieren. In der Zwischenzeit ist Apple über den Fehler informiert und arbeitet an einem Patch, um die zugrunde liegende Ursache zu beheben. Obwohl unklar ist, wann die Lösung eintreffen wird, wäre der einzige Rat bis dahin, Apps nur von vertrauenswürdigen Quellen zu beziehen.