Malware hat eine neue Möglichkeit, sich auf Ihrem Mac zu verstecken


Malware auf Apples MacBook- und iMac-Linien sind häufiger als einige Benutzer erkennen; Es kann sich sogar in Apples kuratiertem Mac App Store verstecken. Aber die relativ starke Verteidigung von macOS macht es für Malware-Autoren schwierig, auf Apple-Computern langfristig bestehen zu bleiben, selbst wenn sie anfänglich Fuß fassen können. Außerdem sind die Möglichkeiten, die auf MacOS verfügbar sind, zu diesem Zeitpunkt so bekannt, dass Techniker und Malware-Scanner sie schnell markieren können. Deshalb sind subtilere Ansätze von Bedeutung.

Auf der Sicherheitskonferenz von Virus Bulletin am Mittwoch in Montreal stellt Mac-Sicherheitsforscher Thomas Reed eine solche potentiell gefährliche Eröffnung vor. Wenn Sie ein App-Installationsprogramm in macOS starten, überprüft ein Programm namens Gatekeeper, ob die App aus dem Mac App Store stammt oder von einem Entwickler, der sich bei Apple registriert hat, kryptografisch signiert wurde. Alle legitimen Programme müssen "code signed" sein, um ihre Gültigkeit und Integrität zu bestätigen. Durch Überprüfung der Codesignatur einer Datei kann Gatekeeper Sie warnen, wenn ein Programm Malware ist oder wenn jemand ein ansonsten gutartiges Installationsprogramm manipuliert hat.

Diese Codesignaturprüfungen sind ein wichtiger Sicherheitsschritt. Aber Reed, der Direktor für Mac- und Mobile-Plattformen bei der Sicherheitsfirma Malwarebytes, hat bemerkt, dass, sobald ein Programm eine Signaturprüfung bestanden hat und installiert wird, macOS seine Signatur nie erneut prüft. Das bedeutet, dass Angreifer, die ein legitimes Zertifikat von Apple kaufen – oder eines davon stehlen -, Mac-Benutzer dazu bringen können, ihre Malware zu installieren. Und wenn es nach dem Herunterladen andere legitime Programme infiziert, könnte es die Erkennung auf unbestimmte Zeit umgehen.

"Sobald Sie eine App geöffnet haben, werden Sie auf macOS nie wieder eine Signaturprüfung erhalten", sagt Reed. "Selbst wenn es böswillig geändert oder beschädigt wurde und die Codesignatur ungültig ist, wird das Betriebssystem es nicht erneut prüfen. Das bietet ein großes Fenster für Malware-Persistenz. Wenn die Malware einige Ihrer Apps infizieren kann, die sich bereits auf der Festplatte befinden dann kann es reinkommen und versteckt bleiben – du wirst nie daran denken, es dort zu suchen, und es kann im Hintergrund laufen, ohne dass du weiser bist. «

"Ein Script-Kiddie könnte so etwas machen."

Thomas Reed, Malwarebytes

In einigen Fällen kann das Aktualisieren einer Anwendung eine Codeüberprüfung oder das Überschreiben böswilliger Manipulationen auslösen, aber Reed sagt, dass dies nicht zuverlässig ist, da viele Entwickler nur eine Codesignaturprüfung für den Aktualisierungscode und nicht die Basisanwendung selbst einbauen. Reed sagt, dass Entwickler dazu beitragen könnten, die potentielle Exposition zu reduzieren, indem sie während der gesamten Lebensdauer einer App freiwillige periodische Codesignaturprüfungen durchführen. Als Ergebnis dieser Forschung hat Reed selbst Malwarebytes Mac-Produkte mit Code-Signatur-Verifikation versehen, so dass sie nun bei jedem Start eine Überprüfung durchführen. "Es ist machbar", sagt er. "Es ist ein zusätzlicher Schritt, aber es ist nicht so ressourcenintensiv."

Obwohl einige andere Anwendungen diese Funktion haben, sagt Reed, dass es immer noch sehr selten ist. Apple könnte auch macOS anpassen, um Code-Signaturen regelmäßiger zu überprüfen, aber das Unternehmen gab keine Anfrage von WIRED zurück, um zu kommentieren, ob es irgendwelche Pläne hat, die Änderung in Betracht zu ziehen.

Reed sagt, dass das Problem seit OS X Leopard, veröffentlicht im Jahr 2007, aufgetreten ist. Er stellt jedoch fest, dass Fortschritte bei der Handhabung von Berechtigungen und Sicherung verschiedener Betriebssystemebenen tatsächlich dazu beitragen können, dass Apple Code-Signing-Validierung einfacher implementieren kann. Das Unternehmen könnte die Gesamtzahl der Überprüfungen verringern, die das Betriebssystem durchführen muss, indem es beispielsweise die Systemprozesse überspringt, die selbst mit root-Zugriff auf das Gerät unveränderbar sind.

Reed hat bis jetzt noch keine Malware gesehen, die von der Eröffnung profitierte, was er als eine Gelegenheit ansieht, um auf die Notwendigkeit von freiwilligen Code-Checks aufmerksam zu machen. Als Teil seiner Forschung hat Reed getestet, wie schwierig es wäre, Malware zu schreiben, die andere Programme manipuliert, um sich in ihnen zu verstecken; Alles, was es brauchte, war die Kombination einiger Entwicklungstools, die er online fand.

"Niemand hat die Punkte so weit verbunden, wie ich sehen konnte, aber es ist ziemlich einfach. Die Tatsache, dass ich es in ein paar Stunden geschafft habe, bedeutet, dass ein Script-Kiddie so etwas machen könnte", sagt er. "Und es ist nicht so, dass es eine Sicherheitslücke in diesen Apps gibt, sondern nur, wenn sie keine Code-Signatur-Prüfungen durchführen, was die meisten Apps nicht tun, dann kannst du deinen Code dort hineinschieben."


Mehr große WIRED Geschichten