Mac Malware kann Apples Hintergrundaufgaben-Manager einfach umgehen, warnt Sicherheitsexperte
macOS verfügt über verschiedene integrierte Tools, um Mac-Malware zu erkennen. Der Hintergrundaufgaben-Manager wurde letztes Jahr zu diesen Abwehrmechanismen hinzugefügt. Ein Sicherheitsforscher behauptet jedoch, dass dieser leicht umgangen werden kann und Apple seine Empfehlungen zur Behebung nicht berücksichtigt hat.
Patrick Wardle präsentierte seine Ergebnisse auf der Defcon Hacker-Konferenz, ohne Apple im Vorfeld zu informieren…
Dreistufiger Schutz von Apple gegen Mac-Malware
Apple verwendet ein dreistufiges System, um Macs vor Malware zu schützen:
- Zuerst versucht Apple die Installation von Malware zu verhindern. Dies geschieht durch die Überprüfung von Apps im Mac App Store und durch den Einsatz von Gatekeeper mit Notarisierung, um sicherzustellen, dass alle anderen Apps von einem anerkannten Entwickler signiert sind.
- Wenn Malware diese Barriere durchbricht, verwendet es XProtect, um Malware zu erkennen und deren Ausführung zu blockieren. macOS beinhaltet die Antiviren-Technologie XProtect, die auf signaturbasierter Erkennung und Entfernung von Malware basiert. Apple aktualisiert die Signaturen regelmäßig und unabhängig von Systemupdates, um Macs vor Malware-Infektionen zu schützen.
- Selbst wenn Malware einmal ausgeführt wurde, versucht Apple, dies in Zukunft zu verhindern. Das Unternehmen aktualisiert XProtect regelmäßig, um neu identifizierte Malware zu erkennen. Zudem wurde letztes Jahr ein Hintergrundaufgaben-Manager eingeführt, der nach der gefährlichsten Art von Malware sucht: persistenten Apps.
Hintergrundaufgaben-Manager im Detail
Einige Malware wird einmal ausgeführt, beispielsweise um persönliche Daten zu stehlen, und dann beendet. Die gefährlichste Art von Malware bleibt jedoch bestehen und kann beispielsweise die Aktivitäten des Benutzers überwachen oder neue Elemente von einem Angreiferserver herunterladen.
Apple versucht, diese durch die Überprüfung der Installation neuer permanenter Aufgaben zu erkennen und sowohl die Benutzer als auch Drittanbieter-Sicherheitstools zu benachrichtigen.
Leicht zu umgehen?
Sicherheitsforscher Patrick Wardle informierte Apple letztes Jahr über mehrere von ihm entdeckte Mängel. Laut Wardle hat Apple jedoch die tiefer liegenden Probleme des Tools nicht erkannt.
„Es war, als würde man Klebeband auf ein abstürzendes Flugzeug kleben“, sagt Wardle.
Enthüllungen zur Umgehung des Hintergrundaufgaben-Managers
Normalerweise teilt Wardle Details von Sicherheitslücken erst nach ihrer Behebung durch Apple. In diesem Fall entschied er jedoch, die von ihm entdeckten Umgehungsmethoden auf der Defcon-Konferenz zu präsentieren, da Apple scheinbar kein Interesse an einer Lösung zeigt.
Einige dieser Umgehungen benötigen Root-Zugriff auf den betroffenen Mac, andere nicht. Wardle entdeckte Wege, die Benachrichtigungen des Hintergrundaufgaben-Managers zu deaktivieren, ohne dass Root-Zugriff erforderlich ist.
Eine dieser Methoden nutzt einen Fehler in der Kommunikation des Benachrichtigungssystems mit dem Kern des Betriebssystems, dem sogenannten Kernel. Ein anderer Weg nutzt eine Funktion, die es Benutzern ermöglicht, Prozesse “einzuschlafen”, was die Benachrichtigungen unterbrechen kann.
Wardle entschied sich für diese Vorgehensweise, da der Hintergrundaufgaben-Manager den Nutzern und Sicherheitsunternehmen derzeit eine trügerische Sicherheit vermittelt.