Apple verpasst 90-Tages-Frist: Mac-Sicherheitsfunktion Gatekeeper kann umgangen werden

28. Mai 2019 13:00 Uhr - Redaktion

Die Sicherheitsfunktion Gatekeeper ist an sich eine gute Sache, sie bietet vor allem unerfahrenen Nutzern einen gewissen Schutz vor Schadsoftware und wird mit macOS 10.15 weiter verbessert. Allerdings kam es in den letzten Jahren immer wieder vor, dass Lücken entdeckt wurden, die eine Umgehung von Gatekeeper ermöglichen. Nun ist ein neuer Fall bekannt geworden.

Durch den vom Sicherheitsforscher Filippo Cavallarin aufgespürten "Gatekeeper Bypass" können Programme ohne Gatekeeper-Prüfung gestartet werden, was zumindest theoretisch für die Schadcode-Einschleusung ausgenutzt werden kann. Der Kern der Lücke: Auf im System angemeldeten Netzwerklaufen findet keine Gatekeeper-Prüfung statt. Enthält ein vom Nutzer heruntergeladenes .zip-Dateipaket Links auf ein vom Angreifer kontrolliertes NFS-Volumes, etwa über getarnte PDF-Dokumente, ebnet dies den Weg für die Ausführung von Schadsoftware.

 

 

 

Cavallarin hat den Fehler nach eigenen Angaben bereits im Februar an Apple gemeldet. Laut Apple sollte er bis Mitte Mai behoben sein, doch auch in der aktuellen Betriebssystemversion macOS 10.14.5 ist die Lücke vorhanden. Da Apple die unter Sicherheitsforschern übliche 90-Tages-Frist, in der Details zu Schwachstellen unter Verschluss gehalten werden, verpasst hat, veröffentlichte Cavallarin nun Einzelheiten zum "Gatekeeper Bypass".

Natürlich bedarf es einiges an Zutun des Nutzers, damit diese Sicherheitslücke ausgenutzt werden kann. User müssen, beispielsweise durch Links in Phishing-Mails, auf manipulierte Web-Sites geführt werden. Dort muss der User dann einen Download initiieren und schließlich noch das heruntergeladene .zip-Archiv entpacken (was, je nach Browser-Einstellung, automatisch geschieht) und die darin enthaltenen Dateien öffnen. Damit sind wir wieder bei der Regel #1: Gesunder Menschenverstand. Niemals auf Links dubios wirkender E-Mails von unbekannten Absendern klicken, Software ausschließlich direkt von den Hersteller-Websites und nicht von Portalen von Drittanbietern laden.

Dennoch ist die Sicherheitslücke als durchaus kritisch einzustufen und hätte eigentlich schon längst durch Apple geschlossen werden müssen. Es bleibt zu hoffen, dass die Kalifornier dies spätestens mit dem für Juli erwarteten Update macOS 10.14.6 nachholen werden.