Arrogante Sonderrechte? Apples Netzwerk-Ausnahmen lassen sich missbrauchen

Wäre die Verteilung der macOS-Aktualisierung auf macOS 11 Big Sur am vergangenen Donnerstag reibungslos über die Bühne gegangen, hätte es wahrscheinlich noch etliche Monate gedauert, ehe Apples Protokollierung eines jeden App-Starts auf dem Mac Gegenstand einer öffentlichen Debatte geworden wäre.

In Big Sur Apple decided to exempt many of its apps from being routed thru the frameworks they now require 3rd-party firewalls to use (LuLu, Little Snitch, etc.) 🧐

Q: Could this be (ab)used by malware to also bypass such firewalls? 🤔

A: Apparently yes, and trivially so 😬😱😭 pic.twitter.com/CCNcnGPFIB

— patrick wardle (@patrickwardle) November 14, 2020

Die großflächigen Server-Ausfälle in der Nacht vom 12. auf den 13. November und das damit einhergehende, unerwartete Verhalten des Apple-Betriebssystems, das zahlreiche MacBooks und Macs Ende vergangenen Woche an den Tag legten, beschleunigte den Diskurs jedoch massiv.

Server-Ausfälle traten Diskussion vom Zaun

Binnen weniger Tage wurden nicht nur Sinn und Unsinn der Apple-Protokollierung diskutiert, hinterfragt und unter die Lupe genommen, Cupertino reagierte sogar selbst und versprach (ungewöhnlich schnell) zukünftig einen Ausschalter für die datenschutzrechtlich bedenkliche Funktion zu liefern, die viele Macs vorübergehend in ein Zustand versetzte, der ein normales Arbeiten am Rechner unmöglich machte.

Apples Patzer sorgte zudem auch dafür, dass sich mehrere Nutzer noch mal mit der Sonderbehandlung beschäftigten, die Apple seinen eigenen Anwendungen in Sachen Netzwerkzugriff unter macOS Big Sur zugesteht.

Wie berichtet nimmt Apple hauseigene Anwendungen hier aus Firewall-Regelungen heraus und bietet Anwendern keinen offiziell sanktionierten Weg an, diesen den Zugriff auf das Internet zu untersagen.

• Arrogante Sonderrechte? Apple lässt sich von keiner Firewall aufhalten
• macOS Big Sur: Vergeigte Auslieferung legte etliche Macs lahm
• Privatsphäre-Patzer: Apple überträgt Protokolle zur App-Nutzung unverschlüsselt

App-Liste und Exploit-Demo veröffentlicht

Über das Wochenende haben Sicherheitsforscher und Entwickler hierzu mehrere wissenswerte System-Interna in Erfahrung gebracht.

• Zum einen ist nun die Liste der Apple-Anwendungen bekannt, denen Apple gesonderte Netzwerkrechte einräumt, die den Internetzugriff jederzeit ermöglichen.
• Zum anderen hat sich herausgestellt, das Schadsoftware diese Sonderrechte ausnutzen kann, um selbst privilegierten Internetzugang auf Rechnern zu erlangen, die eigentlich von einer Firewall geschützt sind.

Was genau ist passiert?

Stark vereinfacht, könnt ihr euch folgendes merken: Um eure Macs vor schadhaften Anwendungen zu schützen, hat sich Apple jeden App-Start auf euren Maschinen melden lassen und diesen protokolliert. Als die dafür vorgesehen Leitung während eines Serverausfalls die Macs ihre Anwender in die Knie brachte, wurde die Funktion erstmals kritisch hinterfragt und genauer unter die Lupe genommen.

Daraufhin stellte sich heraus, dass Apple deutlich mehr Daten als nötig überträgt und seinen Anwendungen Netzwerk-Sonderzugriffsrechte einräumt, die böswillige Akteure recht einfach missbrauchen könnten.

Obwohl Apple in dem hastig formulierten Support-Dokument #HT202491 verspricht, die größten Kritikpunkte im Laufe des nächsten Jahres zu adressieren, fragen sich viele Mac-Anwender derzeit, ob die Rechner mit dem Apfel-Logo nach dem Kauf eigentlich ihnen oder weiterhin Apple gehören: Whose computer is it?

Mit Dank an alle Tippgeber!