macOS Ventura: Wie gut ist der eingebaute Malware-Schutz?
macOS Ventura und auch dessen Vorgänger verfügen mit Gatekeeper, Malware Removal Tool, XProtect und XProtect Remediator über vier Sicherheitskomponenten. Deren Funktionsweise ist jener von Antiviren-Software bekannter Hersteller wie Avira, Norton oder Microsoft sehr ähnlich. Apples Betriebssystem durchsucht etwa die Massenspeicher in regelmäßigen Abständen auf Schadsoftware und prüft auch zu installierende Apps auf Malware (siehe
). Der Entwickler Howard Oakley hat Apples Schutzvorkehrungen jetzt unter die Lupe genommen und ermittelt, wie effektiv diese zu Werke gehen, wenn sie mit Malware konfrontiert werden.
Entwickler testet XProtect mit realer MalwareOakley testete XProtect und die anderen Elemente hierfür in drei Szenarien. Diese erzeugte er mithilfe von virtuellen Maschinen, in denen er macOS Ventura in unterschiedlichen Sicherheitskonfigurationen ausführte. Zum Einsatz kamen ein Standardsystem mit vollständig aktivierten Sicherheitskomponenten, eine Umgebung mit ausgeschalteter System Integrity Protection (SIP) sowie eine Version, bei der er zusätzlich das Security Assessment Policy Subsystem (SAPS) deaktivierte. Diesen präsentierte Oakley dann diverse Schadsoftware, unter anderem DazzleSpy, SysJoker, SnowDrift (CloudMensis) und DubRobber A, auch bekannt als XCSSET. Die Versuche führte er jeweils sowohl mit aktiviertem als auch deaktiviertem Quarantäne-Flag durch.
macOS Ventura erkennt und blockiert Schadsoftware zuverlässigDie Apps, welche SnowDrift und XCSSET enthielten, wurden vom Standardsystem in allen Fällen zuverlässig als Malware erkannt und blockiert. Sie ließen sich nicht ausführen, sondern lediglich in den Papierkorb verschieben, das konnte auch nicht umgangen werden. Anders sah das bei SysJoker und DazzleSpy aus: Hier erfolgte zwar eine allgemeine Warnung, die Apps ließen sich allerdings öffnen. Der Nutzer muss aber aktiv werden, um das zu ermöglichen. Oakley zufolge bietet macOS Ventura im Auslieferungszustand ein gutes Sicherheitsniveau, welches für die meisten Mac-Anwender ausreichend sein sollte.
Abschaltung von SIP reduziert das SchutzniveauWesentlich weniger Schutz bieten XProtect Remediator & Co. allerdings, wenn man SIP deaktiviert. Das Entfernen des Quarantäne-Flags führte in diesem Fall dazu, dass etwa im Falle von SysJoker keine Warnung erfolgte, DazzleSpy wurde zudem als automatisch startende App installiert, was Angreifern Tür und Tor für das Nachladen von Schadcode öffnet. Andererseits weitete macOS Ventura die Malware-Scans von XProtect Remediator deutlich aus und erkannte etwa CloudMensis und DubRobber A bereits, wenn diese lediglich im Download- oder Dokumenten-Ordner lagen. Mit aktiviertem SIP war das nicht der Fall.
Deaktivierung von XProtect ist keine gute IdeeSIP und das Security Assessment Policy Subsystem gleichzeitig zu deaktivieren, ist alles andere als eine gute Idee, das zeigt Oakleys drittes Szenario deutlich. Bei den Versuchen, mit Malware versehene Apps zu installieren, wurden diese nicht blockiert. Es erschienen lediglich die bekannten allgemeinen Hinweise auf die Internet-Herkunft der Anwendungen, sie ließen sich folglich mit einem Mausklick auf „Öffnen“ anstandslos starten. Eine Ausnahme bildete nur XCSSET, hier warnte macOS und verhinderte die Ausführung. Das konnte Oakley allerdings umgehen, indem er das Quarantäne-Flag entfernte und die Software mithilfe des „Öffnen“-Kommandos im Finder startete. Auf die Häufigkeit und Wirksamkeit der Malware-Scans von XProtect Remediator wirkte sich die Deaktivierung von SIP und SAPS hingegen nicht negativ aus. Den ausführlichen Testbericht veröffentlichte der Entwickler auf seinem Blog
The Eclectic Light Company.