Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Malware-Scans in macOS: Fehlende Hinweise machen Macs angreifbar, sagt ein bekannter Entwickler

Gatekeeper, Malware Removal Tool (MRT) und XProtect: So heißen die drei Sicherheitskomponenten, welche seit geraumer Zeit in den Tiefen von macOS ihren Dienst verrichten. Vor einigen Monaten fügte Apple ein viertes Tool namens XProtect Remediator hinzu, dessen Arbeitsweise jenem bekannter Antiviren-Software sehr ähnlich ist. Zudem erhöhte das kalifornische Unternehmen die Frequenz, mit der auf dem Mac nach Malware gescannt wird (siehe ). Das alles geschieht weitgehend im Verborgenen, über eigene Benutzeroberflächen verfügen die Sicherheitstools nämlich nicht.


Updates werden automatisch installiert – oder auch nicht
Mac-Nutzer müssen sich auch nicht selbst darum kümmern, den Malware-Schutz des Betriebssystems auf dem neuesten Stand zu halten. Updates werden automatisch im Hintergrund installiert, ohne dass macOS darüber informiert. Das ist zwar komfortabel, birgt allerdings auch Risiken, wie Howard Oakley jetzt herausfand. Schlagen Aktualisierungen von XProtect Remediator nämlich fehl, weist das Betriebssystem darauf nicht hin. Genau dieser Fall war bei einem Mac-Besitzer eingetreten. Dieser hatte sich an den bekannten Entwickler gewandt, weil er versehentlich einen ihm nachträglich verdächtig erscheinenden Mail-Anhang geöffnet hatte. Seine Befürchtung: Durch diese Aktion könne Schadsoftware auf seinen Rechner gelangt sein.

XProtect Remediator war hoffnungslos veraltet
Der hilfesuchende Anwender nahm auf Oakleys Rat hin mithilfe von dessen Tool XProCheck die in den Logdateien von macOS enthaltenen Scan-Berichte von XProtect Remediator in Augenschein. Deren Inhalt bestand allerdings nur aus vielen nichtssagenden Einträgen, nämlich „<private>“. Das änderte sich auch nicht nach einem Update auf Monterey 12.5.1, zuvor war Monterey 12.4 im Einsatz. Bei der weitergehenden Untersuchung des Betriebssystems stellte sich dann heraus, dass dieses einen veralteten XProtect Remediator enthielt, nämlich die bereits am 17. Juni erschienene Version 62. Aktuell war zum Zeitpunkt der Analyse, dem 4. September, allerdings Version 72. Alle sechs in der Zwischenzeit von Apple bereitgestellten Updates waren fehlgeschlagen, ohne dass macOS dies gemeldet hätte.

Oakley: Apple lässt Mac-Nutzer völlig im Dunkeln
Oakley kritisiert Apples Ansatz bei den Sicherheitskomponenten in einem Beitrag auf seinem Blog „The Eclectic Light Company“. Der Entwickler sieht Mac-Nutzer unter anderem dadurch Gefahren ausgesetzt, dass der kalifornische Konzern sie im Zusammenhang mit dem integrierten Schutz von macOS völlig im Dunkeln lässt. Weise das System auf fehlgeschlagene Updates von XProtect Remediator hin und informiere über einen veralteten Versionsstand, könnten sie Maßnahmen ergreifen, so Oakley. Vielen Anwendern sei zudem überhaupt nicht bekannt, dass Apples Betriebssystem überhaupt einen leistungsfähigen Malware-Scanner enthalte. In der Summe führten daher ausgerechnet jene Komponenten von macOS zu Verwundbarkeiten, welche das System vor solchen schützen sollen.

Kommentare

pünktchen
pünktchen14.09.22 08:40
Ich habe heute und gestern dutzende dieser Fehlermeldungen bekommen:

Process:               XProtectRemediatorXYZ
...
Version:               72
....
Plugin attempted to connect to process impersonating PluginService
abort() called

Klingt ja nach ganz fieser Schadsoftware. Immerhin weiss ich dadurch, das mein XProtect aktuell ist.

Lösung meines Problems laut Oakley: Neustart. Hätte ich auch selbst drauf kommen können. Mal sehen, ob es hilft.
+1
Frank Drebin
Frank Drebin14.09.22 09:23
Ich benutze Malwarebytes und empfehle es weiter, es hat bereits viel Schadsoftware in meinem Bekanntenkreis entdeckt und auch entfernt.
+3
bodymurat
bodymurat14.09.22 09:25
ich empfehle SilentKnight:
https://eclecticlight.co/lockrattler-systhist/
+4
Lagavulin
Lagavulin14.09.22 12:54
Es wäre wirklich sinnvoll, die Anwender über den Status von Gatekeeper, MRT und XProtect zu informieren. Beispielsweise könnte man in den Systemeinstellungen unter „Sicherheit und Datenschutz“ einen Reiter „Sicherheitskomponenten“ (oder so ähnlich) einfügen und dort durch einen grünen Haken symbolisieren, dass diese auf dem aktuellen Stand sind. Und falls nicht, ein Warnsymbol anzeigen und den Hinweis „Sicherheitskomponenten müssen aktualisiert werden“ und daneben einen entsprechenden Download-Button. Um das Ganze abzurunden, sollte im Falle, dass die Installation fehlschlägt ein kurzes Protokoll mit Fehlercodes angezeigt werden und am besten ein Link auf eine Apple-Website die erklärt, wie man weiter verfahren soll um das Problem zu beheben.
Und genau da liegt der Hase im Pfeffer: Wahrscheinlich will man den Anwender nicht verunsichern und verschweigt deshalb lieber, dass Sicherheits-Updates fehlgeschlagen sind. Apple, das könnt Ihr besser!
Always look on the bright side of life
+1
Lagavulin
Lagavulin14.09.22 13:14
@ bodymurat
Danke für den Tipp mit SilentKnight.

Kann man sich darauf verlassen, dass in SilentKnight manuell angestoßene Aktualisierungen von einem Apple-Server heruntergeladen werden, oder werden die über GitHub bezogen (die genutzte Versions-Datenbank liegt ja bspw. auf GitHub)? Im letzteren Fall hätte ich Bedenken, eventuell an kompromittierte Software zu geraten. Vor nicht allzu langer Zeit wurde bekannt, dass Unbekannte über 35.000 Libraries von GitHub kopiert und mit Malware versehen haben. Ein falscher Link und die Kacke ist am Dampfen.
Always look on the bright side of life
+1
pünktchen
pünktchen14.09.22 18:41
Nach dem Update auf macOS 11.7 meldet SilentKnight mir plötzlich:

❌ MRT 1.81 should be 1.93

Dabei war das vorher noch aktuell. Kann doch gar nicht sein?
0
pünktchen
pünktchen15.09.22 09:23
PS: laut Oakleys SystHist.app hat das Update auf 11.7 die MRTConfigData zunächst nicht aktualisiert. Dafür aber anscheinend zerschossen, die gemeldete Version 1.81 stammt aus macOS 11.4. Ohne Fehlermeldung, genau das im Artikel beschriebene Verhalten.

Mit SilentKnight.app liess sich das nachinstallieren.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.