Forscher findet Schwachstelle in Apples Gatekeeper im Mac-Patch

Forscher sagt, dass Apples neuester Sicherheitspatch in Gatekeeper weiterhin umgangen werden kann

Apple hatte Gatekeeper in OS X 10.8 Mountain Lion eingeführt und es wurde auch in seinem Vorgänger, OS X 10.7.5 Lion, integriert, um bösartige Software daran zu hindern, Chaos auf Mac-Computern zu verursachen. Allerdings berichteten Ende September letzten Jahres Berichte, dass ein Forscher einen sehr einfach durchzuführenden Umgehungsmechanismus für Gatekeeper entdeckt hat.

Patrick Wardle, Forschungsdirektor bei der Firma Synack, sagte in einem Interview, dass er einen Patch, den Apple im Oktober veröffentlicht hatte, zurückentwickelt hat und herausfand, dass es sich nicht ganz um die Lösung in Gatekeeper handelt, seiner Sicherheitstechnologie, die schädliche Anwendungen daran hindert, installiert zu werden.

Selbst bei den strengsten Einstellungen von Gatekeeper teilte Wardle mit, dass es durch die Verwendung von App-Bundles umgangen werden kann. Während Gatekeeper mehrere Prüfungen an Apps durchführt, bevor sie auf einem Mac gestartet werden, verhindert es nicht, dass Apps andere Apps oder dynamische Bibliotheken aus einem alternativen Verzeichnis ausführen oder laden. Dies liegt daran, dass Gatekeeper nur die erste Anwendung überprüft, die der Benutzer startet.

Das Hauptziel des Sicherheitsprogramms ist es, die digitale Signatur der Anwendung zu überprüfen. Wenn die Anwendung die digitale Signatur von Apple hatte, würde Gatekeeper dem Benutzer erlauben, die Anwendung zu installieren. Dasselbe geschah mit der digitalen Signatur von Drittanbieteranwendungen.

Aber es scheint, dass der Gatekeeper nicht zuverlässig war. Tatsächlich enthielten sehr oft anscheinend legitime Anwendungen, die im Internet verfügbar waren, Malware-Code.

Nach vielen Versuchen und Fehlern gelang es Apple, einen neuen Patch zu veröffentlichen, der in der Lage sein sollte, jede Lücke im Sicherheitsnetz zu reparieren. Als Wardle die neueste Ergänzung von Apple zu Gatekeeper entdeckte, nahm er es auf sich, die Stärke des Programms zu testen.

Er war es, der erklärte, dass der neue Patch in Bezug auf die Sicherheit so ineffizient war, dass er es schaffte, ihn in nur 5 Minuten zu umgehen.

Seit 2012 ist das integrierte Antimalware-Gatekeeper-System ein Feature in Apples OS X. „Das Problem ist, dass Gatekeeper keine Laufzeitanalyse oder Analyse von sekundären Komponenten durchführt“. Die Idee hier ist, Malware auf Macs zu blockieren: Nur Softwareentwickler, die Apple genehmigt hat, können Software auf der Plattform ausführen.

Laut einem Apple-Vertreter wurden die neuen Dateien, die Wardle privat gemeldet hat, mit XProtect blockiert, einer Antimalware-Funktion, die eine Ergänzung zu Gatekeeper darstellt.

Unten ist ein Proof-of-Concept-Video, das von Patrick Wardle bereitgestellt wurde. „Das Kernproblem ist jedoch nicht behoben, also wenn jemand eine andere App findet, die missbraucht werden kann, sind wir wieder am Anfang“.

In seinem restriktivsten Modus ist Apples Gatekeeper so konzipiert, dass die Ausführung aller Programme, die außerhalb vertrauenswürdiger OS X-Anwendungen und des Mac App Store bezogen wurden, gestoppt wird.

Wardle kritisierte Apples Ansatz, nur eine kleine Anzahl von Apps auf die schwarze Liste zu setzen, die zur Ausnutzung der Schwachstelle verwendet werden können, anstatt die zugrunde liegende Ursache des Fehlers zu beheben. „Es interessiert nicht, ob die ausführbare Datei vom Benutzer ausgeführt wurde oder ob ein Angreifer einen signierten Code missbraucht hat, um das zu starten“.

Auf der Sicherheitskonferenz ShmooCon wird Wardle ein Tool namens Ostiarius vorstellen, das lateinische Wort für Gatekeeper, das seiner Meinung nach das erreicht, was Apple beim ersten Mal hätte tun sollen, um Gatekeeper zu reparieren.

Es überwacht alle neuen Prozesse, die im Kernel von OS X erstellt werden. Wenn ein Prozess nicht digital signiert ist und von einer ausführbaren Datei stammt, die aus dem Internet heruntergeladen wurde, wird er gestoppt.

„Es ist eine Art globaler Ansatz“, sagte Wardle. „Es interessiert nicht, ob die ausführbare Datei vom Benutzer ausgeführt wurde oder ob ein Angreifer einen signierten Code missbraucht hat, um das zu starten.“

Apple arbeitet mit Wardle zusammen und sollte bald einen weiteren Patch veröffentlichen. Wardle empfiehlt den Benutzern, Anwendungen direkt aus Apples Online-Shop herunterzuladen, bis eine andere Version des App-Blockers veröffentlicht wird. Außerdem müssen die Benutzer diese Anwendungen über eine sichere/verschlüsselte Internetverbindung herunterladen.