Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

macOS Sonoma: Sieben Prüfungen, bevor eine App starten darf

Je größer der Mac-Marktanteil, desto höher ist die Gefahr, dass Apples Betriebssystem Ziel von organisierten Malware-Angriffen wird. Bereits seit mehreren Jahren baut Apple deshalb die Sicherheitsroutinen aus, die macOS gegen Viren, Würmer und Trojaner absichert. Installiert man Software auf einem Mac, muss sie zunächst eine ganze Phalanx an Sicherheitsroutinen durchlaufen, bevor sie erstmals startet. Howard Oakley hat den Startvorgang einer App untersucht und beschreibt in einem Blog-Artikel die Prozedur: Zunächst markiert der Dateimanager, Browser oder Paketmanager eine Software präventiv als "Quarantäne". Diese Information wird in den "Erweiterten Attributen" (xattr) des App-Bundles gespeichert. Damit ist die Software für eine genauere Inspektion vorgemerkt.


Doch bevor diese Inspektion überhaupt beginnt, greift noch ein zweiter Sicherheitsmechanismus: macOS Sonoma überprüft, ob sich die neue App noch nicht von dem Ort entfernt hat, an den sie heruntergeladen wurde. In diesem Fall macht das Apple nämlich selbst und verschiebt das zu prüfende Programm in einen randomisierten verschachtelten Ordner unter "/private/var/folders/x4/". Von dort aus testet das Betriebssystem dann die Software auf Sicherheit und Authentizität.

Überprüfung benötigt Netzzugang
Im ersten Schritt wird die Integrität des Programms per Gatekeeper getestet, erklärt Oakley. Das übernimmt der Prozess "Syspolicy". Beim Start einer komplett unbekannten Software überprüft zunächst das regelmäßig aktualisierte XProtect den Code auf bekannte Malware-Komponenten und eventuelles Nachladen dynamischer Komponenten (dylib). Anschließend berechnet macOS eine Prüfsumme (genauer: einen Hash Tree aus einzelnen Code Directory Hashes). Bei notarisierten Programmen wird der Prüfwert mit dem der Apple vorgelegten Version verglichen. Dafür nimmt Syspolicy eine Verbindung zu CloudKit auf. Stimmen die beiden Hash-Trees überein, erscheint die bekannte Warnung, die Anwender zu sehen bekommen:

Ein Teil der Überprüfung ist, dass Anwender ihr Okay geben.

Fastlane-Zugang bei weiteren Starts
Sobald der Anwender das aktive Ausführen der App erlaubt, übergibt der Syspolicy-Prozess den ersten Lauf der App via RunningBoard frei. Der erste erfolgreiche Programmstart räumt der App einen privilegierten Status ein, beobachtete Howard Oakley: Das Quarantine-Bit wird entfernt, macOS fügt die Software der LaunchServices-Datenbank hinzu und speichert den CDHash-Tree lokal. Außerdem hängt macOS dem App-Bundle noch ein erweitertes Attribut des Typs "com.apple.provenance" an. Beim nächsten Start vergleicht Syspolicy die App-Integrität lediglich mit dem lokal gespeicherten Wert, und die App ist gewöhnlich binnen einer Zehntelsekunde startbereit. Eine Überprüfung wird jedoch jedes Mal durchgeführt: Syspolicy überprüft bei jedem Start, ob sich die Software noch Gatekeeper-konform verhält.

XProtect kann noch mehr
Der verpflichtende Scan nach auffälligen Code-Bestandteilen beim ersten Ausführen einer Software ist nur eine Aufgabe, die XProtect übernimmt. Die Routine scannt zudem regelmäßig die Inhalte des Startlaufwerks (Remediator) und beobachtet den laufenden Mac ständig, ob er auffällige Verhaltensweisen an den Tag legt, die auf bekannte Schadsoftware hinweisen (Behaviour). Dies führt Oakley in einem zweiten Beitrag mit dem Titel "How does XProtect?" aus.

Kommentare

mk27ja95
mk27ja9510.05.24 19:28
Dann Schein es nicht mehr zu funktionieren bei mir. Programme hüpfen 30 mal bis sie sich öffnen. Auf einem iMac 24" sollte das nicht passieren. Und am Anfang war es auch anders.
-6
aMacUser
aMacUser11.05.24 12:08
mk27ja95
Dann Schein es nicht mehr zu funktionieren bei mir. Programme hüpfen 30 mal bis sie sich öffnen. Auf einem iMac 24" sollte das nicht passieren. Und am Anfang war es auch anders.
Das hat nichts mit den Sicherheitsprüfungen zu tun oder mit der verwendeten Hardware. Das liegt nur zum einen an dem Programm selbst und zum andere wie sehr man seinen Mac mit Software zugemüllt hat. Da ist macOS nicht anders als Windows, Apple kocht schließlich auch nur mit Wasser.
-6
holk10011.05.24 20:37
Es ist für mich ein hervorragender Vorteil der Apple Macs, dass sie solche Prüfungen durchführen, um die Sicherheit zu erhöhen.
+5
rafi12.05.24 19:32
aMacUser
... und zum andere wie sehr man seinen Mac mit Software zugemüllt hat. Da ist macOS nicht anders als Windows, Apple kocht schließlich auch nur mit Wasser.

Das schreit nach einer Erklärung.
Was hat die Anzahl damit zu tun?
Viele Hintergrundprozesse - von mir aus, aber die reine Anzahl an installierter, aber nicht zwingend aktiver Software, soll den Mac langsam machen?
0
aMacUser
aMacUser13.05.24 22:26
rafi
aMacUser
... und zum andere wie sehr man seinen Mac mit Software zugemüllt hat. Da ist macOS nicht anders als Windows, Apple kocht schließlich auch nur mit Wasser.

Das schreit nach einer Erklärung.
Was hat die Anzahl damit zu tun?
Viele Hintergrundprozesse - von mir aus, aber die reine Anzahl an installierter, aber nicht zwingend aktiver Software, soll den Mac langsam machen?
Das ist Erfahrung. Den ersten Mac, den ich 2009 bekommen habe, hatte ich mit allem möglichen an Software zugemüllt. Also immer mal was "installiert" und mehr oder weniger benutzt. Irgendwann war der Mac absolut ultra langsam, allein Hochfahren und Anmelden hat mehrere Minuten gedauert, und auch alles andere super langsam. Nachdem ich mir einige Jahre später einen neuen Mac gekauft hatte, hatte ich den alten Mac sauber neuinstalliert für meine Schwester. Nach der kompletten Neuinstallation (mit dem dann aktuellen macOS) lief der wieder super schnell, Hochfahren und Anmelden und alles andere in kürzester Zeit.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.