Der Sicherheitsforscher Filippo Cavallarin hat einen gravierenden Schwachpunkt in der Gatekeeper-Sicherheitsfunktion von Apple MacOS entdeckt, mit dem diese Funktion umgangen werden kann und dies könnte im schlimmsten Fall dazu führen, dass der Mac infiziert wird.
Was fand der Sicherheitsforscher heraus?
Wie Filippo Cavallarin in seinem Beitrag schrieb, dient Gatekeeper dazu, eine App die außerhalb des Mac App Store heruntergeladen wurde, zu überprüfen ob der Code durch Apple signiert wurde. Bei einer fehlenden Signatur wird die App nicht gestartet und bewahrt den Mac vor einer möglichen Infektion mit gefährlichen Programmen. Der Gatekeeper verhindert die Ausführung von Anwendungen ohne Zustimmung des Nutzers.
Die aktuelle Implementierung von Gatekeeper sieht externe Laufwerke und Netzwerkfreigaben als sichere Standorte. Dies gibt Programmen die Möglichkeit Codes ohne erneuten Check laufen zu lassen. Der User könne den Sicherheitsforscher zufolge dazu gebracht werden, ein Netzlaufwerk zu mounten und dies könnte überall in dem Ordner passieren.
Angreifer können MacOS infizieren
Cyberkriminelle oder Hacker werden durch den Exploit in die Lage versetzt einen Mac zu infizieren, indem er eine Zip-Datei mit einem symbolischen Link zu einem von ihm kontrollierten Autoaktivierungs-Endpunkt erstellt und an einen Anwender sendet. Der Anwender lädt das gefährliche Archiv herunter, entpackt es und ruft den Symlink auf.
Nun findet sich der User in einem vom Gatekeeper als “sicher” betrachteten Ort wieder, weshalb der Angreifer eine Datei ohne Vorwarnung starten kann. Der Aufbau wie der Finder gestaltet ist erschwert dieses Sicherheitsproblem zu erkennen.
Am 22. Februar 2019 hatte der Sicherheitsforscher Apple über das Leck bereits in Kenntnis gesetzt und sollte mit MacOS 10.14.5 den Fehler beheben. Jedoch bleibt die Sicherheitslücke bestehen und laut Cavallarin reagiere der Konzern nicht mehr auf seine E-Mails.