Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Verschärfungen in macOS Sequoia für unsignierte Apps und Screenshot-/Screenrecording-Tools

Zwar ist es auf dem Mac möglich, Software aus beliebigen Quellen zu laden, dennoch muss diese Aussage in einem wesentlichen Punkt eingeschränkt werden: Seit Einführung von Gatekeeper im Jahr 2012 zog Apple die Schrauben immer weiter an, welche Apps sich einfach per Doppelklick starten lassen. Inzwischen müssen Apps signiert bzw. notarisiert sein, andernfalls erhält der Nutzer eine Fehlermeldung. Bislang war es möglich, das Programm dennoch auszuführen, selbst wenn es nicht den systemseitig festgelegten Sicherheitsvorgaben entsprach. Anstatt einen normalen Doppelklick auszuführen, führte der Weg dann über einen Control- bzw. Rechtsklick.

In macOS Sequoia ändert sich das jedoch und Apple schließt den beschriebenen Pfad. Stattdessen ist es erforderlich, in den Systemeinstellungen die Sektion "Datenschutz und Sicherheit" auszuwählen und sich dort die Informationen zur jeweiligen Software anzusehen. Erst dort ist es dann möglich, die Ausführung zu erlauben – womit Apple eine weitere Hürde gegen nicht-notarisierte Software einbaut. Die Ankündigung der beschriebenen Umstellung erfolgte in Form eines kurzen Updates im Entwicklerbereich.


Wöchentliche Bestätigung der Zugriffsrechte
iPhone- und Mac-Nutzer kennen das Verfahren schon seit vielen Jahren. Der Zugriff auf bestimmte Schnittstellen erfordert explizite Einwilligung, beispielsweise wenn Apps auf Kontakte oder auf Mikrofon und Kamera zugreifen wollen. Bislang regelte ein Bestätigungs-Klick bzw. das Setting in den Systemeinstellungen, dauerhaft besagte Funktionalität verwenden zu können. In einem Bereich verschärft Apple jedoch die Vorgaben.


So ist es für Apps, die Screenshots anfertigen oder den Bildschirminhalte abfilmen, nicht mehr unbegrenzt möglich, ihrer Aufgabe nachzugehen. Stattdessen erfolgen ab macOS Sequoia regelmäßige Nachfrage. Jede Woche soll fortan der Dialog erscheinen und den Anwender um erneute Einwilligung bitten. Apple bestätigte auf Nachfrage, dass es sich um keinen Bug, sondern durchaus um das erwünschte Verhalten handle – auch dann, wenn die aktuelle und offizielle Schnittstelle "ScreenCaptureKit" zum Einsatz komme.

Kommentare

Marcel_75@work
Marcel_75@work07.08.24 10:00
Na dann hoffe ich aber mal stark, dass man das für Apps wie Teams, Zoom und WebEx z.B. mittels eines speziellen Konfigurations-Profils übersteuern kann (und von mir aus nur per 'supervised' an ein MDM angebundenen Macs).

Sonst wird das in größeren Firmen zu einem riesigen Aufschrei führen, denn in Meetings den Bildschirm teilen können ist heutzutage doch ein essenzielles Feature.

Das möchte man ganz sicher nicht 52x im Jahr für jede App bestätigen müssen.
+17
Maniacintosh
Maniacintosh07.08.24 10:10
Ich sehe hier keinen wirklichen Sicherheitsgewinn… Nur Usergängelung. Ich hoffe, dass Apple sich das noch einmal anders überlegt.
+16
crazyjunk07.08.24 10:11
ist ja jetzt schon nervig, dass man zB Teams neustarten muss, wenn man vorher die berechtigungen noch nicht vergeben hat, bei zB einer frischen installation. und mir kommt vor dass man das auch bei so manchem Teams update neu vergeben muss.. ist immer peinlich
+4
MikeMuc07.08.24 10:19
Im Artikel heißt es doch, das diese Nervabfrage nur bei nich notarisierten Apps kommt. Heißt das, das Teams nicht notarisiert ist? Ich kann mir nicht vorstellen, das Microsoft da gespart hat. Obwohl die ja auch gerne mal ihr eigenes Ding machen
-9
Dunkelbier07.08.24 10:20
Ich frage mich da eher, warum diese Hersteller ihre Apps nicht einfach signieren? Im Grunde muss man das ja unter Windows auch tun.

Oder geht das mit diesem Crossplatform-Müll, der leider immer mehr wird, nicht so gut?
-5
Dunkelbier07.08.24 10:21
Maniacintosh
Ich sehe hier keinen wirklichen Sicherheitsgewinn… Nur Usergängelung. Ich hoffe, dass Apple sich das noch einmal anders überlegt.
Oder eine Methode die Hersteller zu zwingen endlich ihre Programme vernünftig zu signieren.

Denn dann wäre es zumindest ein kleiner Sicherheitsgewinn.
+2
X-Jo07.08.24 10:27
MTN
[…]
Stattdessen erfolgen ab macOS Sequoia regelmäßige Nachfrage. Jede Woche soll fortan der Dialog erscheinen und den Anwender um erneute Einwilligung bitten. Apple bestätigte auf Nachfrage, dass es sich um keinen Bug, sondern durchaus um das erwünschte Verhalten handle – auch dann, wenn die offizielle Schnittstelle "ScreenCaptureKit" zum Einsatz komme.
@MTN: Betrifft das dann auch euer Screenium?
+1
sudoRinger
sudoRinger07.08.24 10:38
Ist das "security by obscurity"? Die Funktion zum Installieren von Software wird so gut versteckt, dass normale Anwender keine nicht-notarisierte Software installieren können
+7
Weia
Weia07.08.24 10:40
MikeMuc
Im Artikel heißt es doch, das diese Nervabfrage nur bei nich notarisierten Apps kommt. Heißt das, das Teams nicht notarisiert ist?
Du vermischt zwei vollkommen voneinander unabhängige Einschränkungen, über die der Artikel berichtet:
  • Es ist jetzt aufwändiger, nicht notarisierte Apps auszuführen.
  • Apps, die den Bildschirm aufnehmen können, muss jede Woche eine neue Erlaubnis dazu erteilt werden, vollkommen unabhängig davon, ob sie notarisiert sind oder nicht.
X-Jo
@MTN: Betrifft das dann auch euer Screenium?
Glaubst du, Synium genießt einen Sonderstatus in Cupertino?
“I don’t care” is such an easy lie. (The Warning, “Satisfied”)
+11
stargator07.08.24 10:44
Der wöchentliche Aufruf zur Bestätigung (Screenrecording, Screenshots) erfolgt nur wenn die Software veraltete (depricated) Frameworks verwendet. Bei aktuellen Frameworks wird das nur einmal fällig.
+5
Nebula
Nebula07.08.24 11:10
Aktuell fragen mich MS Teams und das Screenshot-Tools CleanShot X täglich um Erlaubnis. Echt nervig.
»Wir werden alle sterben« – Albert Einstein
+4
Bluebox3407.08.24 11:11
Marcel_75@work

👍🏻👌
-3
TerenceHill
TerenceHill07.08.24 11:17
Nebula

ist bei mir nicht so.
+1
Maniacintosh
Maniacintosh07.08.24 11:45
Dunkelbier
Oder eine Methode die Hersteller zu zwingen endlich ihre Programme vernünftig zu signieren.

Denn dann wäre es zumindest ein kleiner Sicherheitsgewinn.

Meist sind die nicht signierten Dinge eben Apps, wo der Entwickler sich die Gebühren für das Apple Developer Programm sparen will. Ich denke, die wird man damit nicht überzeugt bekommen.

Und beim Screenrecording sehe ich sogar einen Verlust an Sicherheit: Wenn man regelmässig gewarnt wird, wird man irgendwann einfach nur noch ohne lesen genervt wegklicken. Vor einigen Jahren hat Apple diesen Bestätigungswahn bei Windows noch aufs Korn genommen.
+13
Wellenbrett07.08.24 12:20
Maniacintosh
Ich sehe hier keinen wirklichen Sicherheitsgewinn… Nur Usergängelung. Ich hoffe, dass Apple sich das noch einmal anders überlegt.
Der Sicherheitsgewinn liegt darin, dass eine auf Deinem System vorhandene Schadsoftware daran gehindert wird, Ihre Schadfunktionen auszuführen. Apple geht es ganz sicher nicht darum, Anwender zu gängeln, indem legitime Software unterbunden wird.
-1
chicken07.08.24 13:03
@Wellenbrett: Nein die wöchentliche Aufforderung eine/meine bereites getroffene Entscheidung zu überdenken, sorgt nicht dafür das ich mich sicherer fühle.

Wenn ich aktiv einer App erlaube, etwas zu tun, dann in der Regel aus gutem Grund > oder ich widerrufe meine Entscheidung im entsprechenden Reiter in der Systemeinstellung. Aber warum sollte ich das nun wöchentlich tun? Ich bin noch nicht so vergesslich, dass das System jede meiner Entscheidungen wöchentlich in Frage stellt
+12
Fischmuetze07.08.24 13:48
Windows 8 next level
+1
Fischmuetze07.08.24 13:52
Wellenbrett
Maniacintosh
Ich sehe hier keinen wirklichen Sicherheitsgewinn… Nur Usergängelung. Ich hoffe, dass Apple sich das noch einmal anders überlegt.
Der Sicherheitsgewinn liegt darin, dass eine auf Deinem System vorhandene Schadsoftware daran gehindert wird, Ihre Schadfunktionen auszuführen. Apple geht es ganz sicher nicht darum, Anwender zu gängeln, indem legitime Software unterbunden wird.

Es gibt keinen Sicherheitsgewinn wenn man User gängelt, bereits bestätigte Permissions immer wieder zu bestätigen. Das unterstellt ja, dass seriöse Software immer eine latente Gefahr darstellen. Zumal viele User die Gängelung für einen nervigen Fehler halten werden. Im Gegenteil: Nutzer neigen in solchen Fällen dazu, nach Möglichkeit die Dinge irgendwie zu. umgehen, auch wenn dies letztlich dann zu noch weniger Sicherheit führt
+8
vta07.08.24 14:41
Dunkelbier
Maniacintosh
Ich sehe hier keinen wirklichen Sicherheitsgewinn… Nur Usergängelung. Ich hoffe, dass Apple sich das noch einmal anders überlegt.
Oder eine Methode die Hersteller zu zwingen endlich ihre Programme vernünftig zu signieren.

Denn dann wäre es zumindest ein kleiner Sicherheitsgewinn.
Hersteller? Was ist mit den ganzen OpenSource-Entwicklern, insbesondere derer, die das in ihrer Freizeit machen. Da gibt es den ein oder anderen, der es nicht einsieht sein privates Geld in einen Apple Developer Account zu stecken, um signieren zu können. Oder gibt es das kostenlos?
Von manchen Programmen sind die Mac-Versionen nur ein "Abfallprodukt" der Linux-Version, wo sich glücklicherweise jemand gnädig zeigt in seiner Freizeit eine Mac-Version zur Verfügung zu stellen.
+9
Macmissionar07.08.24 14:46
Ich habe ein paar dieser vollkommenen Eigenentwicklungen im produktiven Einsatz. Bislang ging es immer recht gut (rechte Maustaste, Öffnen). Auf neuen Macs wird hingegen viel zu häufig nachgefragt. Die kleinen Tools sprechen Finder, diverse Shellscripte und Systemmethoden an. Keine Screenrecordings oder ähnliches.
Testweise half es ein wenig, einmal Festplattenvollzugriff zu erlauben (sollte aber nicht nötig sein) und bei Automatisierung "Diese App darf den Mac steuern".
Vielleicht muß man sich doch mal aneignen, wie man eine offizielle Codesignatur erhalten kann. Habe irgendwo etwas von deprecated gelesen.
Kennt sich jemand mit dem Terminalprogramm codesign aus? Kann man damit etwas machen?
A Mac is like a Wigwam: No Windows, no Gates, no Backdoors, Peace, Harmony – and an Apache inside.
+3
Eiertanz07.08.24 18:37
Fand die bisherige Methode über das Kontextmenü einen guten Kompromiss, da man durch den relativ versteckten Zwischenritt nicht unbewusst handelt und trotzdem einfach und schnell seine Apps freigeschaltet bekommt. Ich habe hier einige Freeware-Programme, z.B. mkvtoolnix, die muss man nach jedem Update freischalten. Dies jedesmal dann über die Systemsteuerung zu machen wird richtig nervig. VeraCrypt macht das bisher inklusive notwendigen Neustart, wenn man die App oder MacFuse aktualisiert. Neustart dürfte wegfallen, aber allein der Umweg über die Systemeinstellungen nervt jedesmal.
+2
Nebula
Nebula07.08.24 18:43
Macmissionar
Kennt sich jemand mit dem Terminalprogramm codesign aus? Kann man damit etwas machen?
Die sind nicht mal Ad-hoc-signiert? Kannst du mit dem Tool Apparency checken.

Ich habe mir tatsächlich wegen dieses Nervs eine Dev-Signatur gegönnt. Allerdings nervt auch das Signieren selbst mit praktischen Tools wie SD Notary .

Ansonsten muss ich bei der Thematik unweigerlich an diesen Klassiker denken:


Ich sehe schon, dass Firmen Zettel aushändigen, die die Mitarbeiter neben dem Mac zu legen haben, wo alle Dialoge aufgelistet sind, die man bestätigen darf/muss.
»Wir werden alle sterben« – Albert Einstein
+4
Garak
Garak07.08.24 20:19
Ja, ja, immer das Argument der „User-Gängelung“. Wird bei uns im Konzern auch gerne ggü. der IT Security (hier: Azure Cloud) hervorgebracht. Mit dem Ergebnis, dass dann auf High-Management Levels „Ausnahmen zu eingerichteten Policies“ durchgedrückt werden. Das hatte schon mehrere Incidents zur Folge, bei denen die Aufsichtsbehörden des betroffenen Landes informiert werden mussten. Und das bei ganz einfachen Dingen wie „Storage Accounts sollen nur mit Authentifizierung und Verschlüsselung erreichbar sein“ und „Einschalten des Loggings“, um bei identifizierten Einbrüchen kontrollieren zu können, ob Daten abgezogen wurden.

Und kommt bitte nicht mit „Ich bin Privatperson. Da gilt das alles nicht.“ Eure Rechner werden durch Sicherheitslücken und fehlendes Sicherheitsbewusstsein übernommen und sind das Bestandteil einen großen DDoS Angriffsnetzwerks oder anderes. Ihr seid dann das Problem. Und MacOS steht immer mehr im Fokus.
-3
bmwfahrer07.08.24 21:50
Snagit läuft bei mir wunderbar als Screenshottool ohne nervigen Abfragen👌
Nebula
Aktuell fragen mich MS Teams und das Screenshot-Tools CleanShot X täglich um Erlaubnis. Echt nervig.
0
Maniacintosh
Maniacintosh08.08.24 08:53
Garak
Ja, ja, immer das Argument der „User-Gängelung“. Wird bei uns im Konzern auch gerne ggü. der IT Security (hier: Azure Cloud) hervorgebracht. Mit dem Ergebnis, dass dann auf High-Management Levels „Ausnahmen zu eingerichteten Policies“ durchgedrückt werden. Das hatte schon mehrere Incidents zur Folge, bei denen die Aufsichtsbehörden des betroffenen Landes informiert werden mussten. Und das bei ganz einfachen Dingen wie „Storage Accounts sollen nur mit Authentifizierung und Verschlüsselung erreichbar sein“ und „Einschalten des Loggings“, um bei identifizierten Einbrüchen kontrollieren zu können, ob Daten abgezogen wurden.

Keiner sagt, dass diese Abfragen total sinnlos sind und klar Zugriff auf gewisse Hardware kann eben Datenabfluss bedeuten. Aber wir reden hier darüber, dass jede Woche erneut die Freigabe für Screenrecording erteilt werden muss. Wo erhöht dass die Sicherheit? Wenn ich das diese Woche Zoom (GoToMeeting, Teams, ...) freigebe, werde ich es nächste und übernächste Woche genau so tun. Sicherheitsgewinn = 0. Nervfaktor aber hoch. Insbesondere weil es zumindest bisher so war, dass man die App dann neustarten musste, damit das Screenrecording auch funktioniert. Besonders geil, wenn man Host ist und ggf. ein Meeting hat, wo man auch nicht mal eben einen neuen Host ernennen kann.
Und kommt bitte nicht mit „Ich bin Privatperson. Da gilt das alles nicht.“ Eure Rechner werden durch Sicherheitslücken und fehlendes Sicherheitsbewusstsein übernommen und sind das Bestandteil einen großen DDoS Angriffsnetzwerks oder anderes. Ihr seid dann das Problem. Und MacOS steht immer mehr im Fokus.

Wie auch immer das Screenrecording für DDos genutzt werden soll - das ist ein reines Datenschutzproblem. Und da ist es für Angreifer wirklich wesentlich uninteressanter, wenn ich meinen Namen google oder ein YouTube Video gucke, als vielleicht der Manager einer Big Company, der sich gerade deren next big thing anschaut. Das bedeutet natürlich nicht, dass alles wirklich absolut uninteressant sein muss, aber da ist eben in der Wirtschaft für den Angreifer weit mehr zu holen.

Und in Bezug auf DDos sehe ich die Gefahr auch viel eher in den ganzen smarten Geräten, die oft 24/7 online sind und gar nicht so im Fokus der meisten Benutzer stehen. Der Fernseher wird ins WLAN gehängt, weil man dann Netflix damit gucken kann und dass man den ggf. regelmäßig updaten muss, sieht der normale Nutzer nicht. Selbst wenn die Person ggf. eine gewisse Awareness für Updates bei Computer und Smartphone hat, aber ist ja nur ein Fernseher... Und beim smarten Kühlschrank, Herd, Lichtschalter gilt das noch viel viel mehr.
+3
Meierseppl08.08.24 10:37
Na da bin ich mal gespannt ob DisplayLink angepasst wird, bei dem ersten M1 MBP braucht man es um zwei externe Bildschirme benutzen zu können.
0
Nebula
Nebula08.08.24 19:18
Kann der M1 das denn technisch gesehen überhaupt?
»Wir werden alle sterben« – Albert Einstein
0
wolfgag
wolfgag09.08.24 12:48
Ist ja auch echt ein ganz großes Problem, wenn einfach jemand versucht seine Software zu vertreiben, ohne dafür Apple Tax zu bezahlen.

Diese ständigen Warnmeldungen á la “Program X möchte auf Ordner Y zugreifen”, wenn ich ein Dokument speichern möchte oder die 3-4 versteckten Häkchen in den Systemeinstellungen, die man setzen muss, damit ein Wacom Tablet endlich ohne Fehlermeldung funktioniert, gehen mir echt auf den Zeiger. So was kannte ich früher nur von Windows.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.