Gatekeeper aushebeln: Hacker lotsen Opfer nun ins Terminal
Wirkliche Einfallstore in Betriebssysteme, über welche sich ohne Nutzerinteraktion Code ausführen lässt, werden immer rarer – daher weichen Angreifer oftmals auf andere Kanäle aus, um Zugriff auf einen Computer zu erhalten oder Informationen abfließen zu lassen. Häufig manipulieren Angreifer die Zielperson über Werbung, personalisierte Scam-E-Mails oder über Messenger-Dienste, damit sie bestimmte Schritte auf dem eigenen Computer auszuführen. Eine sehr bekannte Masche ist es, sich als Mitarbeiter von Microsoft, Apple oder einem Internetprovider auszugeben und den Nutzer bestimmte Aktionen auf dem Computer ausführen zu lassen.
Bereits vor 12 Jahren führte Apple Gatekeeper ein, welches kurz gesagt verhindert, dass der Mac unsignierten Code ausführt. Um eine App zu signieren, ist ein Entwicklerzugang bei Apple erforderlich – und wenn eine App als Schadsoftware erkannt wurde, kann die Signatur auch invalidiert werden. Auf diese Art und Weise kann die Verbreitung von Malware recht effektiv bekämpft werden.
macOS Sequoia: Kein Rechtsklick mehr möglich zur Umgehung von GatekeeperBislang war es möglich, eine App via Rechtsklick über das Öffnen-Menu trotzdem auszuführen, selbst wenn diese über keine Signatur verfügt. Ein normaler Doppelklick klappte nicht – über das Kontextmenü war ein Starten aber weiterhin möglich. Apple schloss nun dieses Einfallstor mit macOS Sequoia – Nutzer müssen nun, falls ein derartiges Verhalten tatsächlich gewünscht ist, einen (absichtlich komplizierten) Umweg über die Systemeinstellungen wählen.
Angriff via TerminalWie DefSecSentinel herausgefunden hat, weichen Angreifer nun auf einen anderen Kanal aus: Statt Opfer eine App via Rechtsklick starten zu lassen, sollen diese nun ein Bash-Script in Form einer Text-Datei auf die Terminal-App ziehen und mit Return bestätigen – und das Terminal führt daraufhin vorbei an Gatekeeper die Kommandos aus.
Konkret wird hier aus dem Bash-Script ein Apple-Script gestartet, was wiederum ein weiteres Bash-Script ausführt. Dieses versucht, Wallets von Crypto-Währungs-Apps auszulesen und die gesammelten Daten an den Angreifer zurückzusenden. Auf diese Art und Weise hebelt der Hacker recht effektiv die Sicherheitsmaßnahmen aus und hat so eine gute Chance, an die Daten des Opfers zu gelangen oder sich Kontrolle über den Rechner zu sichern.
Nur aus bekannten QuellenNutzer sollten sehr darauf achten, aus welchen Quellen Software auf dem eigenen Mac, PC oder Android-Smartphone bezogen wird. Der App Store für iOS, iPadOS und macOS gilt weitgehend als sicher, obwohl es auch hier in der Vergangenheit zu vereinzelten Vorfällen gekommen ist. Bezieht man seine Software jedoch direkt aus dem Internet, sollte man diese möglichst von der Hersteller-Seite herunterladen und nicht über Download-Portale. Große Vorsicht ist auch bei E-Mails geboten: Selbst wenn eine E-Mail vermeintlich von Apple, Microsoft, Google oder der Telekom stammt, sollte man hier nie direkt einem Download-Link folgen.