Die auf dem Mac enthaltenen Werkzeuge zur Erkennung von Malware enthalten deutliche Schwachstellen. Der langjährige, auf Macs spezialisierte Sicherheitsforscher Patrick Wardle deckte hierzu Defizite im Rahmen der Defcon-Hackerkonferenz in Las Vegas auf. Apple arbeitet ebenso wie auch die Hersteller anderer Betriebssysteme unentwegt an der Entwicklung neuer Mechanismen zu Erkennung von Schadsoftware. Der sogenannte „Background Task Manager“ (BTM) wurde hierfür erst kürzlich mit macOS Ventura als Überwachungstool hinzugefügt und lässt sich laut Wardle noch verhältnismäßig einfach umgehen.


Auffälliges Verhalten schnell erkennen
Zunächst einmal ist es alles andere als trivial, schädliche Programme mit hoher Genauigkeit sicher zu erkennen. Wie auch im Falle anderer Apps handelt es sich hierbei schließlich um funktionierende Programme. Das System muss es nun bewerkstelligen, eine Unterscheidung zwischen legitimer Software und Eindringlingen zu treffen. Mit dem BTM überwacht das kalifornische Unternehmen die Einnistung von Schadcode, was auch unter Persistenz bekannt ist. Dieser kann so konzipiert sein, dass er sich nur flüchtig auf dem Rechner aufhält oder aber längerfristig auf dem Zielgerät verbleiben möchte. Im ersten Fall kann ein Neustart bereits genügen, um die Spuren zu verwischen. Apples Ansatz ist demnach zu kontrollieren, welche Software sich auf dem System breit machen möchte. Geschieht dies aus heiterem Himmel, so könnte dies bereits ein Warnhinweis sein. Der BTM sendet in diesem Fall eine Benachrichtigung an den Nutzer wie auch auf dem System installierte Drittanbieter-Sicherheitstools. Ist man gerade imstande eine neue, sichere Anwendung zu installieren, kann die Meldung ignoriert werden. In jedem anderen Fall könnte es sich um eine Kompromittierung handeln.

Gute Idee, schlechte Umsetzung
Der Gedanke hinter diesem Werkzeug ist gut, jedoch ist die Implementierung so mangelhaft, dass es jeder etwas ausgeklügelten Malware ein Leichtes ist, diese zu umgehen, so Wardle. Der Entwickler bietet Sicherheitstools in direkter Konkurrenz zu Apples hauseigener Lösung an. Eines davon ist BlockBlock, welches sich ebenso mit diesen sogenannten Persistenzereignissen befasst. Dementsprechend wollte Wardle wissen, ob sich Apple in diesem Zusammenhang mit den gleichen Problemen konfrontiert sieht und machte erschreckende Entdeckungen. Zunächst stellte er fest, dass einige Probleme zu fehlgeschlagenen Meldungen führten. Apple lenkte hierauf ein und behob die Probleme. Doch die Lösungen waren oberflächlicher Natur, woraufhin Wardle auf ein längeres Intermezzo mit Apple hinsteuerte. Laut Wardle wollte man sich in Cupertino nicht darüber im Klaren werden, dass die neue Sicherheitslösung noch einiger Überarbeitung bedarf.

Offenlegung
Nachdem Apple sich dagegen sträubte, die von Wardle vorgeschlagenen Funktionen zu untersuchen, sah er sich dazu veranlasst, auf der Hacker-Konferenz eine Umgehung vorzustellen. Diese erforderte zwar den Root-Zugriff und somit die völlige Kontrolle auf das potenzielle Ziel, aber es seien noch zwei weitere kritische Lücken im Umlauf, welche auch ohne derartigen Zugriff die Benachrichtigungen deaktivieren. Eine Lücke stütze sich auf die Art und Weise, wie der BTM mit dem Kernel kommuniziert, die andere hingegen nutzt eine Schwachstelle, mit dessen Hilfe ohne weitreichende Systemprivilegien Prozesse in den Ruhezustand versetzen werden können. Der Sicherheitsforscher veröffentlichte die Fehler, ohne Apple zuvor darauf hinzuweisen, da das Unternehmen sich ihm gegenüber bereits im Vorfeld geweigert hatte, die Gesamtqualität zu verbessern. Wardle merkte in diesem Zug ferner an, dass eine übereilte Herausgabe derartiger Sicherheitstools ein falsches Gefühl der Sicherheit vermitteln würden.