Sicherheitslücke soll angeblich Umgehung von Gatekeeper ermöglichen
Schon seit macOS 10.5 sorgt Apple mit der Schutzfunktion Gatekeeper dafür, dass aus dem Internet heruntergeladene Software nicht ohne weiteres gestartet werden kann. Ein italienischer Sicherheitsexperte will nun herausgefunden haben, dass sich dieser Mechanismus umgehen lässt. Allerdings liegt die Hürde für mögliche Angreifer relativ hoch.
Gatekeeper schützt nur interne MassenspeicherKern des Problems ist
Filippo Cavallarin zufolge die Tatsache, dass Gatekeeper nur interne Massenspeicher schützt. Externe Festplatten und Netzlaufwerke betrachte die Schutzfunktion als sicher. Die Ausführung von Programmen, die dort abgelegt seien, erlaube Gatekeeper daher auch dann, wenn sie nicht von Apple signiert seien. Angreifer könnten daher laut Cavallarin, der für das italienische Sicherheitsunternehmen Segment arbeitet, Schadcode auf einen Mac schleusen.
Symlink führt zur MalwareBei seinem Exploit nutzte Cavallarin zwei in macOS enthaltene Features, die jedes für sich zunächst kein Problem darstellen: Das automatische Mounten eines Netzlaufwerks mittels einer speziellen Pfadangabe und die Möglichkeit, in einer ZIP-Datei einen symbolischen Link (Symlink) zu speichern. Um die Lücke zu demonstrieren, legte der Sicherheitsforscher daher in einem solchen File einen Link auf ein unter seiner Kontrolle stehendes externes NFS-Verzeichnis ab, in dem ein ausführbares Programm lag, in diesem Fall der Aufruf der Shell im Terminal. Dieses konnte er dann unter Umgehung von Gatekeeper starten.
Angriff erfordert Aktionen des BenutzersEin Angreifer, der diese Lücke ausnutzen will, ist allerdings auf die tatkräftige Mithilfe des Benutzers angewiesen; eine automatische Ausführung von Schadcode ist auf diese Art und Weise nicht möglich. Das potenzielle Opfer muss nämlich die infizierte ZIP-Datei erst einmal herunterladen und entpacken. Anschließend muss der Nutzer den Symlink und damit das externe Verzeichnis im Finder öffnen und schließlich die darin enthaltene Anwendung starten. Die Hürde für einen erfolgreichen Abschluss des Angriffs liegt also relativ hoch.