Amaya Toman Der Sicherheitsforscher Filippo Cavallarin hat in seinem Blog eine Warnung vor dem Fehler in macOS 10.14.5 veröffentlicht. Dies besteht in der Möglichkeit, die Sicherheitsmaßnahmen von Gatekeeper vollständig zu umgehen. Laut Cavallarin hatte er Apple bereits im Februar dieses Jahres auf den Fehler hingewiesen, das Unternehmen habe ihn jedoch im neuesten Update nicht behoben.
Gatekeeper wurde von Apple entwickelt und 2012 erstmals in dessen Desktop-Betriebssystem integriert. Dabei handelt es sich um einen Mechanismus, der verhindert, dass eine Anwendung ohne Wissen und Zustimmung des Benutzers ausgeführt wird. Nachdem Sie eine App heruntergeladen haben, überprüft Gatekeeper automatisch deren Code, um festzustellen, ob die Software ordnungsgemäß von Apple signiert ist.
Es könnte sein interessiert dich
In seinem Blogbeitrag erklärt Cavallarin, dass Gatekeeper standardmäßig sowohl externen Speicher als auch Netzwerkfreigaben als sichere Orte betrachtet. Jede Anwendung, die sich auf diesen Zielen befindet, kann daher automatisch gestartet werden, ohne dass die Gatekeeper-Prüfung durchlaufen werden muss. Diese Funktion kann ausgenutzt werden, um ohne Wissen des Benutzers Schadsoftware zu starten.
Ein Aspekt, der unbefugten Zugriff ermöglicht, ist die Automount-Funktion, die es Benutzern ermöglicht, eine Netzwerkfreigabe automatisch bereitzustellen, indem sie einfach einen Pfad angeben, der mit „/net/“ beginnt. Als Beispiel nennt Cavallarin den Pfad „ls /net/evil-attacker.com/sharedfolder/“, der dazu führen kann, dass das Betriebssystem den Inhalt eines „Sharefolder“-Ordners an einem Remote-Standort lädt, der potenziell schädlich sein kann.
Wie die Bedrohung funktioniert, können Sie im Video sehen:
Ein weiterer Faktor ist die Tatsache, dass ein geteiltes Zip-Archiv, das einen bestimmten symbolischen Link enthält, der zur Automount-Funktion führt, nicht von Gatekeeper überprüft wird. Auf diese Weise kann das Opfer das Schadarchiv einfach herunterladen und entpacken, sodass der Angreifer ohne Wissen des Benutzers praktisch jede Software auf dem Mac ausführen kann. Auch der Finder, der bestimmte Erweiterungen standardmäßig verbirgt, weist einen Teil dieser Schwachstelle auf.
Cavallarin gibt in seinem Blog an, dass Apple am 22. Februar dieses Jahres auf die Schwachstelle des Betriebssystems macOS aufmerksam gemacht habe. Doch Mitte Mai stellte Apple die Kommunikation mit Cavallarin ein, sodass Cavallarin beschloss, die ganze Sache öffentlich zu machen.
Source: FCVL
