Vor drei Monaten wurde eine Schwachstelle in der Gatekeeper-Funktion entdeckt, die macOS vor potenziell schädlicher Software schützen soll. Es dauerte nicht lange, bis die ersten Missbrauchsversuche auftraten.
Allerdings hat der Sicherheitsexperte Filippo Cavallarin ein Problem bei der Signaturprüfung der App selbst aufgedeckt. Tatsächlich kann die Echtheitsprüfung in gewisser Weise vollständig umgangen werden.
In seiner aktuellen Form betrachtet Gatekeeper externe Laufwerke und Netzwerkspeicher als „sichere Orte“. Dies bedeutet, dass jede Anwendung an diesen Speicherorten ausgeführt werden kann, ohne dass eine erneute Überprüfung erforderlich ist. Auf diese Weise kann der Benutzer leicht dazu verleitet werden, unwissentlich ein freigegebenes Laufwerk oder einen freigegebenen Speicher bereitzustellen. Alles in diesem Ordner kann dann von Gatekeeper problemlos umgangen werden.
Mit anderen Worten: Ein einzelner signierter Antrag kann schnell den Weg für viele andere, nicht signierte Anwendungen ebnen. Cavallarin meldete Apple pflichtbewusst die Sicherheitslücke und wartete dann 90 Tage auf eine Antwort. Nach Ablauf dieser Frist ist er berechtigt, den Fehler zu veröffentlichen, was er schließlich auch getan hat. Niemand aus Cupertino reagierte auf seine Initiative.
Die ersten Versuche, die Schwachstelle auszunutzen, führten zu DMG-Dateien
Mittlerweile hat das Sicherheitsunternehmen Intego Versuche aufgedeckt, genau diese Schwachstelle auszunutzen. Ende letzter Woche entdeckte das Malware-Team einen Versuch, die Malware mithilfe der von Cavallarin beschriebenen Methode zu verbreiten.
Der ursprünglich beschriebene Fehler nutzte eine ZIP-Datei. Die neue Technik hingegen versucht ihr Glück mit einer Disk-Image-Datei.
Das Disk-Image lag entweder im ISO 9660-Format mit der Erweiterung .dmg oder direkt im .dmg-Format von Apple vor. Üblicherweise verwendet ein ISO-Image die Erweiterungen .iso, .cdr, aber für macOS ist .dmg (Apple Disk Image) viel häufiger. Es ist nicht das erste Mal, dass Malware versucht, diese Dateien zu nutzen, offenbar um Anti-Malware-Programmen auszuweichen.
Intego hat am 6. Juni insgesamt vier verschiedene Proben erfasst, die von VirusTotal erfasst wurden. Der Unterschied zwischen den einzelnen Ergebnissen lag in der Größenordnung von Stunden und sie waren alle über einen Netzwerkpfad mit dem NFS-Server verbunden.
OSX/Surfbuyer-Adware, getarnt als Adobe Flash Player
Experten stellten fest, dass die Beispiele der OSX/Surfbuyer-Adware auffallend ähnlich sind. Hierbei handelt es sich um Adware-Schadsoftware, die Benutzer nicht nur beim Surfen im Internet nervt.
Die Dateien wurden als Adobe Flash Player-Installationsprogramme getarnt. Dies ist im Grunde die häufigste Methode, mit der Entwickler versuchen, Benutzer davon zu überzeugen, Malware auf ihrem Mac zu installieren. Das vierte Beispiel wurde vom Entwicklerkonto Mastura Fenny (2PVD64XRF3) signiert, das in der Vergangenheit für Hunderte gefälschter Flash-Installationsprogramme verwendet wurde. Sie fallen alle unter die OSX/Surfbuyer-Adware.
Bisher haben die erfassten Samples lediglich vorübergehend eine Textdatei erstellt. Da die Anwendungen dynamisch in den Disk-Images verknüpft waren, war es jederzeit einfach, den Serverstandort zu ändern. Und das, ohne die verbreitete Schadsoftware bearbeiten zu müssen. Daher ist es wahrscheinlich, dass die Ersteller nach Tests bereits „Produktions“-Anwendungen mit enthaltener Schadsoftware programmiert haben. Es musste nicht mehr von der Anti-Malware VirusTotal abgefangen werden.
Intego hat dieses Entwicklerkonto an Apple gemeldet, damit ihm die Zertifizierungsberechtigung entzogen wird.
Für zusätzliche Sicherheit wird Benutzern empfohlen, Apps hauptsächlich aus dem Mac App Store zu installieren und bei der Installation von Apps aus externen Quellen auf deren Herkunft zu achten.
Petr Škuta 
Amaya Toman 
Daniel Hruska 