Apples Gatekeeper in OS X kann relativ einfach umgangen werden

In Apples Betriebssystem OS X soll die Gatekeeper-Funktion eigentlich dafür sorgen, dass potenziell schädliche Codes gar nicht erst ausgeführt werden. Doch das Sicherheits-Feature weist bereits im Design eine Schwäche auf, die das Umgehen der Schutzfunktion relativ einfach möglich macht.
Gatekeeper-Bypass
In den Standard-Einstellungen ist Gatekeeper nun schon seit einigen Versionen grundsätzlich aktiviert und lehnt das Starten jedes Programms ab, das nicht mit einer Prüfsignatur von Apple daherkommt. Diese bekommen beispielsweise Anwendungen, wenn sie den Zulassungsprozess für den AppStore durchlaufen haben. Und auch ein registrierter Entwickler kann seinen Code signieren. Dem Sicherheitsforscher Patrick Wardle ist es trotzdem gelungen, beliebigen Code zur Ausführung zu bringen.

Um zu verstehen, wie dies funktioniert, muss man die Funktionsweise von Gatekeeper anschauen. Will ein Nutzer ein Programm starten, springt erst einmal die Schutzfunktion an und führt eine Reihe von Tests durch. Nur wenn diese erfolgreich bestanden werden, wird der Code ausgeführt. Das Problem besteht nun darin, dass im fortlaufenden Betrieb nicht mehr geschaut wird, was die jeweilige Anwendung tut.

Durchwinken und vertrauen

Im Grunde wird nachfolgend schlicht angenommen, dass die Anwendung sich auch weiterhin korrekt verhalten werde. Das machte sich Wardle zunutze: Er baute eine signierte Anwendung, die vorgeblich auch nur recht harmlose Sachen tat. Diese bettete er in ein DMG-File ein - dabei handelt es sich um ein Container-Format, das in OS X-Umgebungen sehr oft zum Einsatz kommt. Die App registrierte, wenn die Prüfungen von Gatekeeper abgeschlossen waren. Anschließend konnte sie ohne weitere Probleme weiteren Code nachladen, der ebenfalls mit dem DMG-Container geliefert wurde. In diesem konnten dann auch Funktionalitäten enthalten sein, die der Schutzmechanismus eigentlich unterbinden soll.




Die größte Gefahr sieht Wardle dabei nicht einmal darin, dass Entwickler, die bei Apple registriert sind, ihre Signaturen missbräuchlich verwenden würden. Allerdings wäre es problemlos möglich, dass externe Angreifer ordentliche Programme so manipulieren, dass sie unter falscher Flagge Schadcodes auf Rechner bringen.

"Ich sehe in Gatekeeper durchaus eine gute Idee", erklärte Wardle. Mit der bisherigen Funktionsweise helfe das Feature im Grunde aber nur, unerfahrene Nutzer vor faulen Angreifern zu schützen. Ausgefeiltere Attacken ließen sich damit aber wohl kaum unterbinden. "Dabei handelt es sich auch nicht unbedingt um einen Fehler, sondern eher um eine Limitierung dessen, was Gatekeeper leisten kann." Apple ist über das Problem bereits informiert und will den Prozess sicherer gestalten - was allerdings keine Sache eines kleinen Patches sein wird. Beta, os x, iOS 9, Apple WWDC, OS X El Capitan Apple