WWDC2022-2023 ist nicht die einzige ernstzunehmende Neuigkeit auf den Schreibtischen der Apple-Ingenieure heute Morgen.
Wenn eine bösartige App richtig ausgenutzt wird, könnte sie Ihr MacBook oder jeden aktuellen Mac vorgaukeln, dass Sie es sind und tun, was immer sie will. Der Sicherheitsforscher Patrick Wardle, Chief Research Officer bei Digita Security, enthüllte gestern (2. Juni) auf einer Konferenz in Monaco mit dem Titel Objective by the Sea eine macOS-Sicherheitslücke.
Leider hat Apple diesen Fehler noch nicht behoben, und Wardle hat dem Unternehmen erst letzte Woche davon erzählt. Um sich selbst zu schützen, müssen Sie bei Anwendungen, die Sie direkt aus dem Internet herunterladen, sehr vorsichtig sein. Es wäre besser, stattdessen beim offiziellen Mac App Store zu bleiben.
Geisterklicks
Laut Wardle besteht das Problem darin, dass Apple eine Handvoll Legacy-Anwendungen (meist ältere Versionen aktueller Apps wie den beliebten VLC Media Player) weiterhin "synthetische Klicks" verwenden lässt, eine Funktion, mit der Anwendungen die neuesten Sicherheitshindernisse von Apple umgehen konnten durch Nachahmen eines autorisierten Benutzers, dessen Erlaubnis erforderlich ist, um bestimmte Aktionen zuzulassen.
Laut EclecticLight.co umfasst die Liste der Legacy-Apps, die Apple auf die weiße Liste gesetzt hat, um synthetische Klicks verwenden zu können, alte Versionen von Steam, VLC, Sonos Mac Controller und Logitech Manager.
Nachdem Wardle und andere Forscher im vergangenen Sommer gezeigt hatten, wie synthetische Klicks verwendet werden können, um Macs anzugreifen, hat Apple mit macOS Mojave die Tür zu dieser Funktion geschlossen. Aber damit ältere Apps weiterhin funktionieren können – Wardle hatte gewarnt, dass das vollständige Ausschalten synthetischer Klicks „viele legitime Anwendungen zerstören“ würde – erhielten diese älteren Apps eine Ausnahmeregelung.
„Für einen Forscher ist es frustrierend, ständig Wege zu finden, die Schutzmaßnahmen von Apple zu umgehen“, sagte Wardle gegenüber Threatpost. "Ich wäre naiv zu glauben, dass es keine anderen Hacker oder raffinierten Gegner gibt, die ähnliche Lücken in Apples Abwehr gefunden haben."
Die Kammern nicht überprüfen
Apple hat einen anderen Schutz. Es erlaubt nur Anwendungen auf einer Apple-Whitelist, synthetische Klicks zu verwenden, unabhängig davon, ob diese Anwendungen veraltet sind oder nicht. Das Problem ist, dass der Überprüfungsprozess zutiefst fehlerhaft ist.
MacOS überprüft die Apps nur, indem es ihre digitalen Signaturen überprüft, und nicht, indem es den Code in diesen Apps tatsächlich überprüft oder sicherstellt, dass sie nach dem Start keinen zusätzlichen Code laden. Gestern bewies Wardle, dass seine Bedenken berechtigt waren, indem er ein bösartiges Plugin in VLC einschloß, eines, das synthetische Klicks - gefälschte Benutzeraktionen - ausführen kann, die Apple normalerweise in Apps blockiert.
Stellen Sie sich einen TSA-Sicherheitsbeamten vor, der nur Ihren Ausweis überprüft und Ihr Gepäck nicht durch das Scanfach schiebt. Das ist hier das Problem.
„So wie sie diesen neuen Sicherheitsmechanismus implementiert haben, ist er zu 100 Prozent kaputt“, sagte Wardle gegenüber Wired. "Ich kann all diese neuen Mojave-Datenschutzmaßnahmen umgehen."
Den Benutzer täuschen
Es ist nicht schwer, Benutzer dazu zu bringen, Anwendungen zu installieren, die beschädigt und gegen den Benutzer als Waffe eingesetzt wurden. Ein wichtiges Beispiel dafür geschah im wirklichen Leben im März 2016 mit dem beliebten BitTorrent-Client Transmission.
Ein Angreifer muss möglicherweise nicht einmal jemanden täuschen. Im Jahr 2016 zeigte Wardle, wie ein beschädigtes Update für legitime Software, die der Benutzer bereits installiert hatte – in diesem Beispiel Kaspersky Internet Security für Mac – alle Sicherheitsmechanismen von Apple umgehen konnte, um einen Mac zu infizieren.
Nachlässige Sicherheitspraktiken
Wardles jüngster Vortrag wurde von einer Reihe von Medien berichtet, darunter The Register.
Wie ist es passiert? Wardle sagte gegenüber The Register: „Wenn ein Sicherheitsforscher oder jemand bei Apple mit Sicherheitsdenken diesen Code geprüft hätte, wäre er aufgefallen. Sobald Sie diesen Fehler sehen, ist er trivial.“
„Sie prüfen den Code nicht“, fügte er hinzu. "Sie implementieren diese neuen Sicherheitsfunktionen, aber die Realität ist, dass sie oft falsch implementiert werden."
- Warum die WWDC eine neue Ära für Apple einläuten wird