Sicherheitsforscher: Apples OS X kaum vor Malware geschützt

26. April 2015, 10:14
238 Postings

Interne Sicherheitsmechanismen wie XProtect und auch Antivirensoftware leicht auszutricksen

Geht es um die Vorzüge verschiedener PC-Betriebssysteme, so wird sehr schnell mit Sicherheit argumentiert. Während Windows gelegentlich nachgesagt wird, anfällig für Malware-Infektionen zu sein, genießen seine am Desktop-Markt vergleichsweise kleinen Konkurrenten den Ruf, sehr sicher zu sein.

Ein Mythos, mit dem allerdings Sicherheitsforscher Patrick Wardle nicht viel anfangen kann, wenn man über Apples OS X redet, mit dem Apples Mac-Rechner betrieben werden. Wardle weist in einem Vortrag auf der RSA Conference darauf hin, dass die Bedrohungslage für das System sich vergrößert habe und kritisiert sowohl Apples eigene Sicherheitsmechanismen, als auch Antivirensoftware als weitestgehend nutzlos, wie Heise schreibt.

Mehr OS X-Malware

50 neue Malware-Familien konnten laut Wardle im vergangenen Jahr entdeckt werden. Als Ursache vermutet er den leichten Anstieg des Marktanteils von OS X. In den USA hält das System nunmehr bei 14 Prozent, weltweit wies Net Application vergangenen Dezember 7,2 Prozent aus.

Interne Schutzfunktionen leicht umgehbar

Aktuell sei es einfach, auf Apples Rechnern Schadsoftware einzuschleusen, zumal dessen integrierte Schutzfunktionen längst nicht perfekt seien. "Gatekeeper" etwa überprüfe nur, ob eine App aus dem Store stammt, aber nicht, ob die gefährlichen Code enthält. "XProtect" wiederum nutzt den Hash-Wert zum Abgleich und sei bereits durch das Umbenennen der Schadsoftware überlistet.

Die Sandbox, die Programme eigentlich in einer vom restlichen System abgeschotteten Umgebung laufen lassen sollte, ist zwar eine sinnvolle Erfindung. Diverse Fehler, die unter anderem von Google aufgedeckt wurden, ermöglichen aber den "Ausbruch" einer App. Auch Programme, deren Signatur nicht gültig ist, würden trotz Prüfung gestartet. Der vorgeschriebene Signatur-Check für Kernel-Erweiterungen lässt sich mit dem Beenden des dafür zuständigen Kext-Daemons überspringen. Die dafür notwendigen Root-Rechte lassen sich wiederum über die Verwendung der "Rootpipe"-Lücke erlangen, die trotz Patch offenbar noch immer genutzt werden kann.

Antiviren-Software erkennt Test-Malware nicht

Auch die von ihm getesteten, bekannteren Antivirenlösungen machten keine gute Figur. Eine von Wardle selbst erstellte Malware konnte sich permanent im System einnisten und Informationen nach außen verschicken. Trotzdem schlug von über zehn Programmen kein einziges Alarm. Problematisch ist, dass es zahlreiche Wege gibt, um das System auf Dauer zu infizieren und einige Malware-Abkömmlinge zudem über gültige Entwicklerzertifikate verfügen.

Mit zwei von Wardle geschriebenen, kostenlosen Tools lässt sich ein Teil der Gefahren zumindest vermeiden. "Knock Knock" übermittelt die Hashwerte automatisch gestarteter Dateien an die Plattform Virustotal, die sie mit den aktuellen Datenbanken diverser Antivirenhersteller abgleicht. "Block Block" überwacht, ob ein Programm sich an einer verdächtigen Stelle einnisten will informiert gegebenenfalls den User. Doch auch diese Helfer lassen sich potenziell aushebeln. (gpi, 26.04.2015)

  • OS X bietet offenbar einige Angriffsfläche für Malware.

    OS X bietet offenbar einige Angriffsfläche für Malware.

Share if you care.