ifun.de — Apple News seit 2001. 26 339 Artikel
"Apple started dropping my emails"

Gatekeeper-Schwachstelle im Video: Apple trotz Hinweisen tatenlos

25 Kommentare 25

„Es gibt Software“, so Apple, „die Probleme auf einem Mac verursachen kann“.

Um mögliche Kandidaten bereits frühzeitig zu erkennen bzw. den Anwender zu besonderer Sorgfalt aufzufordern, setzt Apple auf den in macOS integrierten Gatekeeper und seine Sicherheitswarnungen, die darauf hinweisen wenn Online-Downloads das erste Mal ausgeführt werden sollen und wenn Apps geladen wurden, deren Entwickler Apple nicht namentlich bekannt ist.

Macos Mojave App Downloaded From Internet Alert Dark

Dass man sich auf Apples Schutz vor schadhaften Apps, Trojanern und Viren jedoch nicht hundertprozentig verlassen kann, demonstriert der Sicherheits-Forscher Filippo Cavallarin anhand seines zum Wochenende veröffentlichten „MacOS X Gatekeeper Bypass“.

Die Technik-Demonstration zeigt, wie sich Apples Gatekeeper-Mechanismus einfach aushebeln lässt. Böswillige Angreifer müssen ihre Opfer lediglich dazu bringen, die App von einem gemounteten Netzwerk-Laufwerk zu starten, die macOS grundsätzlich als sicher einstuft und hier auf zusätzliche Nachfragen verzichtet. Dies lässt sich mit Bordmitteln des Mac-Betriebssystems bewerkstelligen.

Apps, die dieses Verhalten ausnutzen, können ohne Einschränkungen und Warnungen gestartet werden und, wie in Cavallarins Beispiel etwa dafür genutzt werden, Verbindungen zu externen Command-and-Control-Server aufzubauen.

Apple trotz Hinweisen tatenlos

Cavallarin meldete seine Entdeckung bereits im Februar an Apple und bekam die Zusage, dass man den Sicherheitsfehler bis Mitte Mai beheben werde. Passiert ist bislang allerdings nichts. Nachdem nachfragende E-Mails von Cavallarin zudem schlicht von Apple verworfen wurden, hat der Security-Spezialist die Sicherheitslücke, die auch in der erst kürzlich ausgegebenen System-Version macOS 10.14.5 noch vorhanden ist, jetzt öffentlich gemacht.

The vendor has been contacted on February 22th 2019 and it’s aware of this issue. This issue was supposed to be addressed, according to the vendor, on May 15th 2019 but Apple started dropping my emails. Since Apple is aware of my 90 days disclosure deadline, I make this information public.

Montag, 27. Mai 2019, 9:11 Uhr — Nicolas
25 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • „Böswillige Angreifer müssen ihre Opfer lediglich dazu bringen, die App von einem gemounteten Netzwerk-Laufwerk zu starten,…“
    Und damit sind viele wieder raus und sicher. Das dürfte sehr wenige treffen.

    • Soweit ich weiß gilt das aber auch für gemountete, externe Laufwerke. Und da sind viele wieder dabei. Ausserdem können zip.Dateien mit einem Speicherpunkt auf externe Laufwerke verweisen. Die darin enthaltene Installationsroutine könnte dann wieder auch ein anderes Laufwerk verweisen und Dateien laden.

    • Trotzdem ist es eine Sicherheitslücke, wie schwerwiegend die ist können wohl nur die wenigsten hier beurteilen. Nichtsdestotrotz ist der Umgang damit seitens Apple mal wieder nicht sehr Professionell. Das Ganze verläuft wieder nach dem Schema, erstmal versuchen auszusitzen, dann kommt der Aufschrei der User und der Presse und zum Schluss wird ohne weiter Info von Apple doch noch ein Patch bereitgestellt.

    • Selbst schuld wer jedes Katzenbild in seiner E-Mail anklickt.

  • Warum können beliebige Menschen Apple Deadlines setzen? Warum publizieren diese Menschen dann Lücken? Finden, Melden, Vergessen. Fertig.

    • Weil das das einzige Druckmittel ist das du hast, um die Firma zu zwingen tatsächlich aktiv zu werden und die Lücke zu schließen. Nennt sich responsible disclosure und ist Industriestandard. Ansonsten würden die meisten Lücken nie geschlossen, weil „ja noch nichts passiert ist“.

    • Endlich mal vernünftige Kommentare hier. Wie kann man Apple unter Druck setzen, dass die den Fehler beheben sollen. Finden, Melden, Vergessen. Dann kann Apple sich um wichtigere Dinge kümmern, als eine Sicherheitslücke, die, wie revosback schon sagte, nur wenige Nutzer treffen wird.
      Aber mit Apple Sicherheitslücken kann man halt schön in die Schlagzeilen kommen.

      • Sicherheitslücke ist Sicherheitslücke, auch wenn nur wenige betroffen sind sollte es doch nicht so schwierig sein diese zu stopfen, oder?

    • Versteh ich auch nicht, aber da will halt wer Aufmerksamkeit

    • Weil das so üblich ist, wenn jemand eine Sicherheitsproblem gefunden hat. Man gibt der Firma 3 Monate Zeit darauf zu reagieren bzw. die Sicherheitslücke zu schließen. Denn je länger eine Sicherheitslücke besteht, desto wahrscheinlicher ist es, dass sie ausgenutzt wird.

      • Zu dem gibt es auch immer die Möglichkeit, sich auszutauschen. Hätte Apple gesagt, sie sind dabei, brauchen aber noch einen Monat mehr, wär das voll okay – aber gar nix machen und nicht reagieren geht gar nicht.

        Sicherheitslücken gehören in jedem Falle gemeldet und veröffentlicht (geschlossen oder nicht), damit jeder Nutzer entscheiden kann, ob er eine Software oder Hardware – trotz Risikos – weiter nutzen möchte oder nicht.

    • Na, wenn du eine Zahnlücke hast, sagst du doch auch nicht, finden, ärgern, vergessen, fertig.
      hmm … oder doch?

  • Puh…ja…ne Schwachstelle is doof. Aber mal ehrlich: welcher Aufwand muss hier wieder betrieben werden? Wieviel Zeit und Energie muss „ein böswilliger Angreifer“ investieren, um Tante Inge klar zu machen, dass sie erstmal ein NAS kaufen muss, die App darauf laden soll, das Laufwerk mounten und dann auf ihrem 2012er MacBook auszuführen?
    Das erinnert mich an das „überlisten“ von FaceID.

    Korrigiert mich, wenn ich es falsch interpretiert hab.

  • Die Vorgehensweise des Mannes ist völlig in Ordnung. Ich kann nicht verstehen, warum manche das hier auch noch schönreden.

    • … oder schlecht­re­den, dramatisieren und polemisieren. Je nach Setup desjenigen. ;)

    • Verstehe ich auch nicht. Das Thema Sicherheit & Datenschutz ist halt echt vielen egal. Hauptsache es gibt neue Animoji & andere Features mit dem nächsten Update.
      Und wie bereits erwähnt ist die 90-Tage Frist üblicher Standard in der IT-Branche und wird auch gegen Microsoft, in der Linux-Welt, Google (deren Sicherheitsteam wendet dies sogar selbst an) usw. angewandt. Und hier sprechen wir nicht mal über das ebenfalls übliche Bug-Bounty-Program, welches bei Apple immer noch nicht wie sonst in der Branche üblich gehandhabt wird.

  • Immer das Gleiche, wenn Apple was nicht prüft sondern einfach erlaubt ist Geschrei „Sicherheitslücke“ groß.
    Wenn Apple was prüft und den Start erschwert ist das Geschrei „Apple erlaubt nur noch Appstore Apps um abzukassieren“ groß.
    Sie können es eben nicht allen recht machen.

    • So sind die Menschen heutzutage. Anstatt sich zu freuen, dass es den Gatekeeper gibt, bemängeln die, dass der nicht ordentlich funktioniert. Das regt mich echt auf.
      Genau wie die Idioten, die mit ihrem iPhone ein Update machen und sich dann beschweren, dass es nicht läuft. Was kann Apple dafür, dass die das System nicht komplett neu aufsetzen.
      Zum Glück gibt es hier bei den Lesern noch ein paar clevere Leute.

      • Gast48, Fakt
        Ok ihr zwei Schlaumeier. Wenn ihr dann mal den Text richtig verstanden, die Tragweite und Gefahr voll realisiert habt, dann bitte entschuldigt euren Kommentar.
        Danke. Bitte

  • Wenn Apple sich nicht ständig selbst auf den Sockel stellen und als heilige Kuh anbeten, dann würden sie eventuell mal ihren Hintern hoch bekommen und Bugbounty Programm ins Leben rufen.

    Aber Apple zeigt bei Hardware und Software eine absolute Ignoranz was von Usern erkannte Fehler angeht.

    Und Sicherheitslücke bleibt Sicherheitslücke, egal wie groß oder klein sie ist.

  • Also bei aller liebe und Sympathie für Apple, aber so ein Verhalten geht gar nicht.
    Niemand kann abschätzen ob sich durch eine gefunden Sicherheitlücke nicht doch noch ganz andere einfallstellen ergeben können oder nicht.
    Eine gemeldete Lücke gehört geschlossen so schnell wie möglich. 3 Monate ist dafür mehr als ausreichend Zeit. Wie viele Beta Versionen hat Apple seit dem veröffentlicht?

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 26339 Artikel in den vergangenen 6515 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2019 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven