Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

macOS Ventura und Sicherheit: Apple erweitert Schutzfunktion für Apps um neues Attribut

macOS verfügt mit Gatekeeper über einen Malware-Schutz, welcher die Ausführung von Apps aus unsicheren Quellen blockiert. Das seit vielen Jahren in Apples Betriebssystem enthaltene Tool prüft unter anderem aus dem Internet heruntergeladene Programme beim ersten Aufruf darauf, ob sie vom Entwickler korrekt signiert und von Apple notarisiert wurden. Ist beides nicht der Fall, gibt der Torwächter einen Warnhinweis aus und der Nutzer muss den Start der Anwendung ausdrücklich erlauben. Bis zu diesem Zeitpunkt befindet sich die App in Quarantäne, diese verhängt macOS unmittelbar nach dem Herunterladen durch das Setzen eines erweiterten Attributs namens „com.apple.quarantine“.


Quarantäne-Attribut sorgt für Warnhinweis
Das Extended Atrribute (xattr) enthält diverse Informationen, etwa den Zeitpunkt des Setzens, den Verweis auf einen Eintrag in der Datenbank namens „QuarantineEvents“ sowie natürlich den Quarantäne-Status. Das entsprechende Flag wird geändert, wenn Gatekeeper die App überprüft und der Nutzer sie gegebenenfalls freigegeben hat, sie also einmal erfolgreich gestartet wurde. Anschließend verhält sich die Anwendung wie ein Programm, welches man aus dem App Store, also einer sicheren Quelle, heruntergeladen hat, Warnhinweise gehören folglich der Vergangenheit an.

macOS Ventura legt zusätzliches erweitertes Attribut an
Die Entlassung einer App aus der Quarantäne wurde bislang vom Betriebssystem nicht an einer anderen Stelle vermerkt, etwa in der bereits genannten Datenbank. Das hat sich in macOS Ventura geändert, wie Howard Oakley jetzt herausgefunden hat. Apples aktuelle Betriebssystemversion legt nämlich nach der Überprüfung einer App ein zusätzliches erweitertes Attribut namens „com.apple.provenance“ an. Es enthält einem Blogbeitrag des Entwicklers zufolge einen 11 Byte langen binären Verweis auf den erfolgreichen Check. Dieser wird durch die System Integrity Protection (SIP) geschützt, lässt sich also nur entfernen, wenn man SIP deaktiviert.

Zweck von com.apple.provenance derzeit unbekannt
Apple hat das neue erweiterte Attribut nicht dokumentiert. Sinn und Zweck von com.apple.provenance sind derzeit folglich nicht bekannt. Oakley konnte bislang auch nicht herausfinden, ob und gegebenenfalls wie es von macOS ausgewertet und genutzt wird. Möglicherweise handelt es sich um eine Vorbereitung auf zusätzliche Sicherheitsfeatures, welche das Unternehmen zukünftig in Gatekeeper integrieren will.

Kommentare

cfkane13.03.23 15:49
Oh nein, Howard Oakley ist kein bekannter Entwickler mehr .
Vergänglicher Ruhm – wie gewonnen, so zerronnen. Sic transit gloria mundi.
q.e.d.
+5
Nebula
Nebula13.03.23 15:59
Immerhin ist er noch Entwickler.

Anyway: eine interessante Entdeckung. Wirklich neu ist sie aber nicht:
»Wir werden alle sterben« – Albert Einstein
+3
MetallSnake
MetallSnake13.03.23 18:34
Wie kann denn der Eintrag hinzugefügt werden wenn es doch mittels SIP geschützt ist, und somit gar nicht geschrieben werden kann?
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
-1
Deichkind13.03.23 19:08
macOS kann es. In der Diskussion bei Stack Exchange geht es allerdings um das Entfernen des Attributs.
Howard Oakleys Bericht geht weit das hinaus, was bei Stack Exchange angegeben ist. Die Diskutanten dort haben ja nicht einmal herausgefunden, warum der eine das Attribut entfernen konnte und der andere nicht.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.