Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Wie Apple Silicon macOS sicherer starten lässt

Zu Classic-Zeiten war das Macintosh-Betriebssystem so Drag & Drop wie nur irgend möglich: Systemerweiterungen und Kontrollfelder zog man in die entsprechenden Ordner; nach einem Neustart waren die Änderungen wirksam. Um eine Systemkopie von einem anderen Laufwerk die Starterlaubnis zu erteilen, "segnete" man es durch Herüberziehen des Systemkoffers. Das bedeutete allerdings auch, dass sich das Mac-Betriebssystem äußerst leicht böswillig verändern ließ. Seit der Jahrtausendwende arbeitete Apple kontinuierlich daran, den Nachfolger Mac OS X (und später macOS) gleichzeitig abzusichern und komfortabel zu halten. Die Produktion eigener Prozessoren erleichterte den Fortschritt dabei. Im sechsten Teil seiner Artikelreihe zu Apple Silicon zeichnet Howard Oakley die Entwicklung des Startvorgangs in den letzten Jahren nach.


Am Anfang steht eine Kette aufeinanderfolgender Überprüfungen: Das Boot ROM überprüft die Integrität des Low-Level Bootloaders, dieser wiederum betätigt die Authentizität der Firmware – bei Macs "iBoot" genannt. iBoot nimmt sich dann den aktuellen Schnappschuss des macOS-Betriebssystems vor und überprüft daraufhin dessen Identität, bevor dessen Kernel das signierte Systemvolume (SSV) startet. Bestimmte wichtige, aber separat veränderliche Systembestandteile, etwa Safari, verwahrt macOS seit Version 13 (Ventura) jeweils in einem verschlüsselten und signierten virtuellen Laufwerk (Cryptex). Diese werden separat überprüft und geladen.

So verläuft, stark vereinfacht, die Verifizierungskette beim Start von macOS.

Externe Startlaufwerke sind erlaubt
Mit dem Wechsel auf Apple Silicon konnte Apple einige Sicherheitsfeatures von iOS ins Mac-Betriebssystem integrieren – namentlich die Secure Enclave. Dieser ursprünglich zur lokalen Erkennung des Fingerabdrucks im iPhone 5s eingeführte Koprozessor hat seine eigene Firmware und führt sicherheitsrelevante Systemaufgaben in einer mehrfach abgesicherten Umgebung durch. Auf Macs mit M-Prozessor ermöglicht er, macOS von externen Laufwerken ohne Sicherheitseinbußen zu starten. Apple hatte bei den letzten Intel-Macs den T2-Koprozessor eingebaut, der ähnliche Funktionen übernahm. Der erlaubt das Starten von externen Laufwerken nur mit reduzierter Sicherheit, Anwender müssen dies darum im Startsicherheitsdienstprogramm explizit einschalten. Diese Einschränkung fällt auf ARM-Macs weg, das Hilfsprogramm verschwand ersatzlos. Die ersten Komponenten des Systemstarts erfordern allerdings auch beim M-Mac ein funktionierendes macOS auf der internen SSD.

Die Secure Enclave ist ein spezieller, besonders gesicherter Bereich auf Apple Silicon. Quelle: Apple

Kernel-Erweiterungen bleiben auf der Strecke
Die erhöhte Sicherheit gegenüber nachträglichen Veränderungen forderte ihren Tribut: Durch die nahtlos nachweisbare Integrität von macOS war kein Platz mehr für Kernel-Erweiterungen (kexts). Ein in der Form modifiziertes macOS lässt sich nicht mehr lückenlos überprüfen, weshalb macOS ihre Installation nur noch akzeptiert, wenn man im Wiederherstellungsmodus die System Integrity Protection deaktiviert. Die Funktion ist mit Absicht gut versteckt und auf die Kommandozeile beschränkt – Apple empfiehlt dies nur noch für Testzwecke. Stattdessen mögen Entwickler doch die Frameworks "DriverKit" und "SystemExtension" verwenden. Damit sollen systemnahe Funktionen im "Userspace" möglich sein, also ohne Systemprivilegien.
Vor 10 Jahren: 3 Milliarden für Beats
Vor 10 Jahren: 3 Milliarden für Beats
Gescheitert: iPhones von Robotern statt Arbeitern
Gescheitert: iPhones von Robotern statt Arbeite...
Ransomware eingefangen? Die meisten bezahlen ihre Erpresser
Ransomware eingefangen? Die meisten bezahlen ih...
Kopfhörer für Workout
Kopfhörer für Workout
iPhone 16 Pro: Tippen oder Wischen ignoriert, Nutzer melden Touchscreen-Fehlverhalten
iPhone 16 Pro: Tippen oder Wischen ignoriert, N...
Woche der Mac-Ankündigungen
Woche der Mac-Ankündigungen
Apple Watch Series 10
Apple Watch Series 10
macOS 15 Sequoia: Netzwerkprobleme und Verbindungsabbrüche sorgen für Frust
macOS 15 Sequoia: Netzwerkprobleme und Verbindu...

Kommentare

ssb
ssb18.03.24 16:05
Ohne den Artikel lesen zu müssen - ist bestimmt vom "bekannten Entwickler" H.O....
0
ruphi
ruphi18.03.24 19:01
ssb
Ohne den Artikel lesen zu müssen - ist bestimmt vom "bekannten Entwickler" H.O....
Ich mache meist auch eine kleine Wette mit mir selbst bei solchen Titeln :B
0
fleissbildchen18.03.24 22:46
MTN
Um eine Systemkopie von einem anderen Laufwerk die Starterlaubnis zu erteilen, "segnete" man es durch Herüberziehen des Systemkoffers. Das bedeutete allerdings auch, dass sich das Mac-Betriebssystem äußerst leicht böswillig verändern ließ.

Mir ist kein einziger Fall zu Ohren gekommen, bei dem das ein Problem war. Mich persönlich nervt es total, dass ich nicht mehr autark mit meinen Rechnern arbeiten kann und Apple sie jederzeit aus der Ferne stilllegen kann.
-2
Retrax19.03.24 01:46
Mal eine Frage dazu:
Ich habe bei einem iMac Late 2013 macOS auf der internen SSD ganz normal installiert und war als Admin tätig.

Dann habe ich eine externe Festplatte angeschlossen, und darauf auch macOS über einen USB-Stick installiert.

Ich habe dann von der externen Festplatte gebootet, und konnte problemlos durch meinen ganzen Benutzerordner auf dem iMac navigieren. Dokumente lesen, ändern, löschen etc...

Ich hätte vermutet, dass ich als fremder Nutzer der ich ja bin wenn ich von der externen Festplatte boote keinen Zugriff auf macOS auf der internen SSD des iMacs habe.

Kann das vielleicht ein mit der Materie befasster Nutzer klären wieso das damals ging?

Ich gehe davon aus, dass das bei heutigen Apple Silicon Macs nicht mehr der Fall ist, oder?

Es handelte sich um macOS 10.15 Catalina oder 1 oder 2 Versionen davor. Mit welchem macOS wurde denn der iMac Late 2013 ausgeliefert?

Danke!
+1
MetallSnake
MetallSnake19.03.24 09:30
Als Admin des Geräts kannst du alles lesen was daran angeschlossen wird. Das System das du gebootet hast hat keinen Grund dir das Lesen zu verbieten.
Wenn man sich davor schützen möchte braucht es eine Verschlüsselung, die ist heute mit FileVault gegeben, sofern du das nicht abgeschaltet hast. Hat aber nichts mit Apple Silicon zu tun, das ist Intel Macs genauso.
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
+2
hal5319.03.24 09:57
Jetzt noch mal für die Ungebildeten unter uns. Wenn die interne SSD
abkackt, nützt es mir nichts, wenn ich vorher beispielsweise
mit Superduper ein Systemupdate gemacht habe? Mein Macmini ließe sich dann nicht mehr von einer externen SSD starten? Da alles auf einem Chip ist, wäre dann also ein neuer Macmini fällig? Tolles Geschäftsmodell, welches einem dann auch noch als Sicherheitsfeature verkauft wird!
-1
fleissbildchen19.03.24 10:56
hal53
Wenn die interne SSD abkackt, nützt es mir nichts, wenn ich vorher beispielsweise mit Superduper ein Systemupdate gemacht habe?

Du musst dein Backup-Volume als APFS formatieren und dann beim ersten Sicherungslauf mit SuperDuper unter "Options..." einstellen "Erase, then copy" (vorher sicher stellen, dass SuperDuper aktuell ist, also ggf. erst Updates installieren).

Danach kannst du SuperDuper wieder auf "Smart Update" umstellen.

Jetzt kannst du genau diesen Rechner (nur den) von der Backup-Platte starten.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.