MacOS: Ungepatchte Schwachstelle in Apples Gatekeeper veröffentlicht

Mit dem sogenannten "Gatekeeper" möchte Apple sicherstellen, dass auf den eigenen Computern ausschließlich vertrauenswürdige Software aus­ge­führt wird. Ein Sicherheitsforscher hat nun aber eine schwerwiegende Schwachstelle, welche das Tool außer Gefecht setzen kann, offengelegt. Filippo Cavallarin hat herausgefunden, dass der Gatekeeper recht einfach umgangen werden kann. Grundsätzlich prüft das Sicherheits-Programm nach jedem Software-Download außer­halb des App Stores, ob das betroffene Programm von Apple signiert wurde. Sollte das nicht geschehen sein, wird der Nutzer nach seiner ausdrücklichen Zustimmung gefragt, bevor die App auf dem Computer installiert wird. Wie Cavallarin in seinem Blog beschreibt, sieht der Ga­te­keeper aber sowohl externe Laufwerke als auch Netzlaufwerke als sichere Umgebungen an. An­wen­dun­gen, die dort abgelegt wurden, werden vor ihrer Ausführung keiner erneuten Über­prü­fung unterzogen. Ein ZIP-Archiv kann Netzlaufwerke durch symbolische Links einhängen.

Auf YouTube ansehen

Angriff über einen symbolischen Link

Die Funktionsweise der Attacke wurde in einem Video festgehalten. Hier nennt der Si­cher­heits­for­scher sämtliche Details, sodass es An­grei­fern ohne Probleme möglich sein dürfte, die Sch­wach­stelle auszunutzen. Zunächst muss der Hacker eine manipulierte ZIP-Datei erstellen, welche einen sym­bo­li­schen Link zu einem kon­trol­lier­ten Endpunkt enthält. So könnte bspw. "Documents" auf "/net/evil.com/Documents" verweisen. Sobald der Nutzer das kom­pro­mit­tier­te ZIP-Archiv entpackt, wird Gatekeeper dem eingebauten symbolischen Link au­to­ma­tisch folgen. Da das Sicherheits-Tool das Ziel als sichere Umgebung einstuft, kann der Angreifer jetzt jedes beliebige Programm auf dem PC des Nutzers starten, sodass es sich um ein schwerwiegendes Problem handelt.

Cavallarin hat das Unternehmen aus Cupertino schon am 22. Februar über die Schwachstelle informiert. Der Konzern hat betont, das Problem mit dem Release von MacOS 10.14.5 zu beheben. Dies war allerdings nicht der Fall. Stattdessen soll Apple auf keine weitere Anfrage des Sicherheitsforschers mehr reagiert haben. Cavallarin hat die Sicherheitslücke nun also an die Öffentlichkeit gebracht, da seit der Meldung inzwischen mehr als 90 Tage vergangen sind.