Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

macOS Ventura: Darum werden manche Apps plötzlich blockiert

Apple hat in den vergangenen Jahren den in macOS integrierten Malware-Schutz kontinuierlich ausgeweitet. Neben dem Gatekeeper, welcher vor Apps aus unbekannten Quellen warnt und diese unter Umständen blockiert, verfügt das Mac-Betriebssystem mittlerweile mit XProtect und XProtect Remediator auch über einen eingebauten Virenschutz (siehe ). In macOS Ventura, das in wenigen Wochen erscheint, geht das kalifornische Unternehmen diesen Weg konsequent weiter und verschärft die Funktionsweise von Gatekeeper. Das hat möglicherweise Folgen für Anwendungen, die nicht aus dem App Store stammen.


Apps müssen signiert und notarisiert sein
Der in macOS enthaltene Torwächter prüft bislang beim ersten Aufruf einer aus dem Internet heruntergeladenen App, ob diese korrekt signiert und von Apple notarisiert ist. Wird dabei ein gravierendes Problem festgestellt, blockiert der Gatekeeper die Anwendung. Das ist etwa dann der Fall, wenn die App nicht von einem verifizierten Entwickler stammt. Um ein solches Programm dennoch ausführen zu können, muss man dies in den Systemeinstellungen unter „Sicherheit & Datenschutz“ explizit erlauben. Anschließend erscheint beim nächsten Öffnen ein weiterer Warnhinweis; bestätigt man diesen, verhält sich die App anschließend wie eine notarisierte Anwendung und lässt sich künftig ohne Sicherheitswarnung ausführen.

Gatekeeper prüft Apps künftig bei jedem Start
Grundsätzlich arbeitet der Gatekeeper in macOS Ventura so wie bereits in den bisherigen Ausgaben des Mac-Betriebssystems seit macOS Catalina. Allerdings prüft der Torwächter laut dem bekannten Entwickler Howard Oakley in der neuen Version heruntergeladene Apps nicht mehr nur beim ersten Start, sondern bei jedem Aufruf. Apple erhöht dadurch die Sicherheit erheblich, denn jede zwischenzeitlich erfolgte Veränderung des Programms führt stets zu neuerlichen Warnmeldungen. Solche Modifikationen können durch Malware erfolgen, allerdings reicht unter Umständen bereits ein von der App selbst heruntergeladenes und installiertes Update, um die Blockade auszulösen. Gleiches gilt, wenn der Nutzer eine Anwendung verändert hat oder diese beschädigt wurde.

Blockade nach In-App-Update möglich
Besonders anfällig für eine Sperre durch den Gatekeeper sind Programme, welche ein älteres Verfahren für In-App-Updates nutzen. In diesem Fall kann das zwischen bisheriger und aktualisierter Version zu einer Inkonsistenz bei Signatur oder Notarisierung führen, die Apples Malware-Schutz auf den Plan ruft. Abhilfe schafft dann in aller Regel das Entfernen der betroffenen App und die Neuinstallation der aktuellen Fassung. Diese Vorgehensweise empfiehlt sich auch bei beschädigten oder vom Nutzer modifizierten Anwendungen. Keinesfalls sollte man Oakley zufolge versuchen, die von macOS gesetzten Quarantäne-Flags oder erweiterte Datei-Attribute mithilfe von Terminalbefehlen zu entfernen. Das als Workaround von manchen Webseiten empfohlene Deaktivieren von Gatekeeper kann sogar gefährlich werden, weil es die erste Verteidigungslinie des Systems aushebelt.

Apples Support-Dokument zu Gatekeeper

Kommentare

piik26.09.22 17:40
Ich finde das eine Frechheit von Apple.
Ja, es ist so ein bisschen sicherer.
Genausogut könnten könnten aber auch die Apps aus dem Store zwischendurch manipuliert werden und deshalb müssten die mit dem gleichen Argument jedesmal geprüft werden.
Insofern unterstelle ich Apple die Absicht, die Software-Anbieter in den Store zu zwingen und die Apple-Abgabe damit zu kassieren, ansonsten wird Software so nervig, dass die User aufgeben.
Man sollte das entweder abschalten können oder aber das OS prüft nur, wenn sich ein Hash geändert hat.
+5
marm26.09.22 17:51
Ich kann daran nichts schlechtes erkennen. Mit dem AppStore hat das erstmal nichts zu tun. Eine Software ist notarisiert und Gatekeeper prüft regelmäßig, ob die Notarisierung noch gültig ist - also die Software sich nicht zum Beispiel durch eingeschleuste Malware verändert hat.

Was passiert denn nun, wenn ich eine notarisierte Software nach der Installation selbst manipuliere? Also z.B. im Programmpaket die Sprachdateien lösche?
+10
AtariOnMac26.09.22 17:59
Ich nutze etliche Programme die nicht von Apple signiert und notarisiert sind.
Klingt so als könnte das in Zukunft deutlich nerviger werden mit denen zu arbeiten. Da muss ich mir tatsächlich überlegen ob ich überhaupt auf macOS Ventura umsteige...
+11
Deichkind26.09.22 18:02
AtariOnMac
Das in dem Artikel beschriebene Vorgehen betrifft überhaupt nur notarisierte Apps.
+6
Borimir26.09.22 18:25
AtariOnMac
Ich nutze etliche Programme die nicht von Apple signiert und notarisiert sind.
Klingt so als könnte das in Zukunft deutlich nerviger werden mit denen zu arbeiten. Da muss ich mir tatsächlich überlegen ob ich überhaupt auf macOS Ventura umsteige...
einmal in den Einstellungen erlauben, fertig.
-10
Warp26.09.22 18:36
Borimir
Wenn ich den Artikel oben richtig lese ist es eben nicht mehr mit "einmal in den Einstellungen erlauben, fertig" getan. Siehe den Abschnitt "Gatekeeper prüft Apps künftig bei jedem Start". Ich sehe das etwas mit gemischten Gefühlen und ich habe den Eindruck, dass ich immer mehr mit wegklicken, bestätigen usw usw von Meldungen beschäftigt bin um was zu machen.
+14
marm26.09.22 18:39
Warp
Wenn ich den Artikel oben richtig lese ist es eben nicht mehr mit "einmal in den Einstellungen erlauben, fertig" getan.
EclecticLight
In some older cases, that leaves the updated app with discrepancies in its code signing and/or notarization.
Das betrifft nur diese "some older cases". Leider weiß ich erst nach dem Update, welche meiner Software schlecht gepflegt ist. Vielleicht sollte ich erstmalig mehr als 5 Minuten warten, bevor ich ein neues MacOS installiere.

Ich weiß jetzt auch dem Stegreif allerdings leider nicht, welche Software ich in Systemeinstellungen/Datenschutz freigegeben habe. Nur diese Software müsste ich auf Kompatibilität mit Ventura prüfen.
+2
Deichkind26.09.22 19:01
Das betrifft doch nur Apps, die signiert sind. Ist eine App nicht signiert, dann ist sie auch nicht notarisiert, und der Gatekeeper kann dann ohnehin nicht prüfen, ob sie sich noch in dem ursprünglichen Zustand befindet.
Unklar ist mir, wie der Gatekeeper bei jenen Apps vorgeht, die irgendwann mal ad hoc auf dem Computer des Benutzers signiert worden sind. Wird Ventura bei diesen Apps ebenfalls regelmäßig prüfen, ob sie seither verändert worden sind?

Das was der Gatekeeper auf Ventura zukünftigt macht, hat Howard Oakley schon seit Jahren gefordert bzw. das Fehlen wiederholter Prüfungen kritisiert.
+3
claudiusw
claudiusw26.09.22 19:54
Ich finde es eine Sauerei, dass das macOS zu einem Appliance OS verkommt. Ich will die Kontrolle darüber was ich installiere und wie ich es nutze selbst behalten. Ich nutze und programmiere seit über 40 Jahre Computer und bin auf der Mac Platform seit 1994 und weiss was ich tue. Ich brauche keinen "Daddy", der mich vor dem Bösen beschützt. Man kann von mir aus so etwas als "out of the box" einschalten, aber es muss möglich sein dies komplett abzustellen.
Wenn das so weitergeht, dann kommt bald ein Tag, an dem ich zu Linux wechsele und den beiden Bevormundungs-OS (macOS und Windows) den Rücken kehre.
You can­not cre­ate good ty­pog­ra­phy with Arial.
+11
marm26.09.22 20:02
claudiusw
Man kann von mir aus so etwas als "out of the box" einschalten, aber es muss möglich sein dies komplett abzustellen.
Mit xattr -d com.apple.quarantine /Applications/xy.app sollte das möglich sein.
Sinnvoll ist das wohl eher nicht.
-2
Metti
Metti26.09.22 21:21
Ich bin einer der betroffenen Programmierer. Meine Programme gebe ich kostenlos ab und bin nicht gewillt, für die Notarisierung einen kostenpflichtigen Entwickler-Account mit jährlicher Zahlung zu finanzieren.
Ich habe durchaus Verständnis, dass Apple die Nutzer schützen möchte. Ich sehe das grundsätzlich auch positiv. Dennoch muss ich entweder die Software kostenpflichtig machen oder ich biete die Programme für macOS nicht mehr an (Tendenz: letzteres).

Ich wäre ja durchaus bereit, mich bei Apple gegen ein einmaliges Entgelt zu registrieren. Gern auch durch eine Banküberweisung oder eine sonstige Zahlungsweise, die mich identifizierbar macht (damit man mich in Regress nehmen kann, wenn ich Schaden anrichte). Das muss aber in vertretbarem Rahmen bleiben und darf nur eine einmalige Bearbeitungsgebühr verlangen. Danach muss die Signierung und Notarisierung kostenlos sein (wird ohnehin automatisiert durchgeführt.
Bei Microsoft reichen auch einmal 20,-$(?) um sein Programm in den Store bringen zu können. Damit wäre ich auch bei Apple zufrieden.

So langsam gefällt mir Apple immer weniger. Erst CSAM (ist noch nicht vom Tisch), jetzt diese Einschränkung. Meine Hardware gehört mir. Was darauf läuft, möchte ich bestimmen und geht Apple nichts an!
+11
marm26.09.22 22:42
Metti
Ich bin einer der betroffenen Programmierer.
Nein, Du bist nicht betroffen. Erneut überprüft wird nur notarisierte Software.
Oakley
Note that Apple states that these new checks are only made on apps which are notarized: if you run unnotarized software, such as your own, then it doesn’t appear to be subject to them.
+3
piik26.09.22 22:46
marm
Ich kann daran nichts schlechtes erkennen. Mit dem AppStore hat das erstmal nichts zu tun. Eine Software ist notarisiert und Gatekeeper prüft regelmäßig, ob die Notarisierung noch gültig ist - also die Software sich nicht zum Beispiel durch eingeschleuste Malware verändert hat.
Es geht darüber hinaus. Laut Artikel werden die nicht Apple-Store-Apps bei jedem Start geprüft und man muss das Abnicken. Das ist mehr als annoying...
+6
marm26.09.22 22:50
piik
Es geht darüber hinaus. Laut Artikel werden die nicht Apple-Store-Apps bei jedem Start geprüft und man muss das Abnicken. Das ist mehr als annoying...
Nein, das stimmt so nicht. Die Apps werden bei jedem Start überprüft, ja. Normalerweise ist die Überprüfung erfolgreich und ein Abnicken ist nicht erforderlich. Außer die App wurden nach dem ersten Start verändert, z.B. durch Malware. In aller Regel wirst Du keinen Unterschied zu zuvor bemerken.
Oakley
Fast forward to Ventura in a few weeks time, ..., but every time you run that app the same checks on its signature and notarization are made as if it was undergoing first run. If the app doesn’t pass those, you’ll see similar dialogs to those when the problem has occurred on first run
+2
Lenny1897
Lenny189726.09.22 22:54
Wenn ich das hier lese „Ich bin Entwickler und weiß, was ich tue…“ oder „Ich arbeite schon seit 40 Jahren mit Apple Rechnern…“.

Für wen werden diese Funktionen und Sicherheitsfeatures eingebaut? Doch bestimmt nicht für die erfahrenen Anwender und Entwickler, sondern für die breite Masse an unbedarften Menschen. Diese erwarten zu recht einen Schutz, der auch erkennt, wenn eine installierte Software verändert wurde. Bisher scheint es ja nicht der Fall zu sein.

Jetzt anzudrohen, Apple den Rücken zu kehren, wenn Anwender in Zukunft auch Updates freigeben müssen, halte ich persönlich schon für recht vermessen. Wie oft kommt ein Update für eine Anwendung? Halbjährlich oder vierteljährlich? Worüber reden wir?

Die Aufforderung, die Software zu erlauben kommt auch in Zukunft nicht bei jedem Programmstart, sondern nur, wenn eine Veränderung festgestellt wird. Und diese Veränderung kann nur bei einer regelmäßigen Prüfung festgestellt werden. Also, wenn das Programm gestartet wird.
+5
One Two
One Two27.09.22 08:25
Metti
Ich bin einer der betroffenen Programmierer. Meine Programme gebe ich kostenlos ab und bin nicht gewillt, für die Notarisierung einen kostenpflichtigen Entwickler-Account mit jährlicher Zahlung zu finanzieren.

Wegen 99€ pro Jahr (also 8,25€ im Monat)? Vielleicht solltest du dieses Thema mal an die Benutzer deiner Apps herantragen. Bei guter Software gibt es immer eine Spendenbereitschaft.
+7
LordVaderchen27.09.22 08:27
Im Grunde will ich nur ein Tool, welches den ganzen Murks abschaltet, Neustart, fertig. Dann liegt es an mir was ich an "Sicherheit" möchte für meinen privat genutzten Mac. Problematisch wird es gefühlt für mich, wenn dies nicht möglich wäre, weil entsprechende Systemfunktionen dermaßen im System verankert sind, dass dies shlichtweg auch theoretisch schon nicht mehr möglich wäre.
+5
Metti
Metti27.09.22 09:51
One Two
Wegen 99€ pro Jahr (also 8,25€ im Monat)?
Wenn das so wenig ist, kann Apple ja darauf verzichten.

Mir geht es darum, dass Apple eine Funktion einbaut, die Entwickler dazu zwingt, an Apple (jährlich) Geld zu überweisen. Das finde ich nicht korrekt. Egal wie wenig das ist. Ich würde dabei Geld ausgeben, ohne für mich einen Nutzen zu haben. Nicht mal just for fun. Sicher gibt es Spendenbereitschaft bei den Anwendern. Aber die Spenden, mir(!) das Geld, weil sie mich(!) unterstützen wollen. Frag mal die Anwender, ob Sie jährlich an Apple Geld für die Funktion auf ihrem Rechner zahlen würden. Da gibt es sicher genug, die dazu nicht bereit sind.

Ich denke durchaus, dass die Funktion grundsätzlich positiv zu bewerten ist. Sie erhöht die Sicherheit der Anwender ungemein. Auf der anderen Seite gibt es Anwender, die bewusst auf manche Sicherheitseinstellung verzichten wollen. Zumindest für bestimmte Programme. Wenn Apple hier den "Erziehungsberechtigten" spielt, finde ich das schon bedenklich. Das möchte ich nicht zusätzlich mit Geld unterstützen. Schon gar nicht als dauerhafte Zahlung.

Wie verhält es sich eigentlich mit Programmen, die von einem Entwickler notarisiert und signiert wurden und der Entwickler seinen Account nicht weiter nutzt (zahlt). Bleibt das dann erhalten oder meldet Apple dann die Software als nicht notarisiert/signiert?
+6
deus-ex
deus-ex27.09.22 09:53
piik
Ich finde das eine Frechheit von Apple.
Ja, es ist so ein bisschen sicherer.
Genausogut könnten könnten aber auch die Apps aus dem Store zwischendurch manipuliert werden und deshalb müssten die mit dem gleichen Argument jedesmal geprüft werden.
Insofern unterstelle ich Apple die Absicht, die Software-Anbieter in den Store zu zwingen und die Apple-Abgabe damit zu kassieren, ansonsten wird Software so nervig, dass die User aufgeben.
Man sollte das entweder abschalten können oder aber das OS prüft nur, wenn sich ein Hash geändert hat.

Was ein Käse. Für Signierung und Notarisierung muss keine App in den Store. Es sind ja auch z.B. alle Spiele in Steam signiert und notarisiert.

Betroffen dürfte eher OpenSource Software sein, also die, bei den das auch jetzt schon anschlägt. Dass das dann nach einem Update neu geprüft wird, finde ich vollkommen in Ordnung und war ein Schwachpunkt des alten Systems.

Und BTW. Apple prüft für App Store Apps bei jedem Update.
+3
deus-ex
deus-ex27.09.22 09:57
Warp
Borimir
Wenn ich den Artikel oben richtig lese ist es eben nicht mehr mit "einmal in den Einstellungen erlauben, fertig" getan. Siehe den Abschnitt "Gatekeeper prüft Apps künftig bei jedem Start". Ich sehe das etwas mit gemischten Gefühlen und ich habe den Eindruck, dass ich immer mehr mit wegklicken, bestätigen usw usw von Meldungen beschäftigt bin um was zu machen.

Der "Warnhinweis" erscheint nur nachdem die App ein Update erhalten hat. Er prüft zwar bei jedem Start, aber nur wenn die App "verändert" wurde erscheint der Hinweiß neu. Ist ja nicht so dass das täglich passiert. Das war schon ein Schwachpunkt beim alten System. Einmal bestätigt konnte die App Updates machen wie sie wollte. Handbrake hatte z.B. mal ein kompromittiertest Update mit Schadcode. Und das ist eine App die ohne Signierung und Notarisierung daherkommt.
+4
Mickx27.09.22 12:21
Hallo,

ich nutze Mac's auch schon seit 1991!

Ich bin froh darüber, dass Apple -auch wie in Vergangenheit bereits- die Endanwender versucht zu schützen.

Wenn ich mitbekomme, was so manche Software-Firmen/ Entwickler hinten dem Rücken der Kunden so an Daten absaugen und tracken dann wird mir Angst und bange.
Und ja, es gibt auch die anständige kleine Entwickler. Vielen Dank für euer schaffen!

Nur bei der Vielzahl an Software die aktuell eingesetzt wird, kann das kein normalsterblicher noch alles checken und überwachen.

Danke Apple!
+1
Metti
Metti27.09.22 21:23
deus-ex
Was ein Käse. Für Signierung und Notarisierung muss keine App in den Store. Es sind ja auch z.B. alle Spiele in Steam signiert und notarisiert.

Wie weiter oben erklärt wurde, kann ich mein Programm nur signieren/notarisieren lassen, wenn ich einen kostenpflichtigen Entwickler-Account habe. Dass ich in den Store möchte, habe ich nicht gesagt.

Wie macOS sich in Zukunft verhält, werden wir sehen. Ich hatte es so verstanden, dass bei jedem Start von nicht signierten/notarisierten Programmen der Anwender den Start bestätigen muss. Wenn er das nur bei einer veränderten (neuen) Version bestätigen muss, hat sich gegenüber der aktuellen Situation nichts verändert (für mein Programm).
+1
deus-ex
deus-ex28.09.22 10:00
Metti
deus-ex
Was ein Käse. Für Signierung und Notarisierung muss keine App in den Store. Es sind ja auch z.B. alle Spiele in Steam signiert und notarisiert.

Wie weiter oben erklärt wurde, kann ich mein Programm nur signieren/notarisieren lassen, wenn ich einen kostenpflichtigen Entwickler-Account habe. Dass ich in den Store möchte, habe ich nicht gesagt.

Wie macOS sich in Zukunft verhält, werden wir sehen. Ich hatte es so verstanden, dass bei jedem Start von nicht signierten/notarisierten Programmen der Anwender den Start bestätigen muss. Wenn er das nur bei einer veränderten (neuen) Version bestätigen muss, hat sich gegenüber der aktuellen Situation nichts verändert (für mein Programm).

Nein, da steht "wird vor jedem Start geprüft". Der Bestätigungsdialog erscheint nur wenn die Prüfung eine Veränderung feststellt. Der Unterschied zu früher. Da wurde nur 1 mal geprüft. Danach nie wieder.
+1
DefConData
DefConData18.11.22 16:08
Ich benutze einige Programme die nicht aus dem Appstore sind, wie z.B Firefox, Opera, VLC, Handbrake LibreOffice und diverse Games aus GOG. Ich kann jetzt keine Veränderung feststellen.

Unabhängig davon ist es mehr als sinnvoll wenn das System veränderte Programme nicht automatisch ohne Warnung ausführt. Wer es trotzdem machen will kann es doch tun. Heutzutage wo Firmen dauernd irgendwelche Tracking Software unterschieben wollen ist das sogar wichtig. Der Trick besteht doch darin das eine Software beim ersten Start unverdächtig ist und später die Schadsoftware nachlädt.
Wer keine Ahnung hat sollte besser mal die Fresse halten
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.