Apples neue App-Prüfung
Gatekeeper unter macOS Mojave: Mehr Sicherheit durch „beurkundete“ Apps
Apple hat mit macOS Mojave auch die sogenannte Gatekeeper-Funktion überarbeitet. Gatekeeper soll dafür sorgen, dass keine Malware-Anwendungen auf eurem System installiert werden.
Die grundlegenden Vorgaben für den Gatekeeper finden sich wie gehabt im Bereich „Sicherheit“ der Systemeinstellungen und haben sich auch nicht geändert. Ihr könnt hier festlegen, ob auf eurem nur Apps aus dem Mac App Store oder auch Anwendungen von verifizierten Entwicklern installiert werden dürfen. Mit Blick auf den letztgenannten Punkt hat Apple allerdings zusätzliche Sicherheitsmechanismen integriert.
Neu ist hier die Möglichkeit, dass Entwickler ihre Anwendungen von Apple „beurkunden“ lassen können. Hierbei handelt es sich um ein zusätzliches, über die Prüfung der Signatur hinausgehendes Sicherheitsmerkmal. Ist eine App signiert, dann bedeutet dies nämlich lediglich, dass sie von einem von Apple zertifizierten Entwickler stammt. Genau genommen wird also der Status des Entwicklers überprüft und nicht die App selbst, dies hat in der Vergangenheit nicht nur einmal dazu geführt, dass sich zweifelhafte Anwendungen durch die Gatekeeper-Kontrollen gemogelt haben.
Die neuen, von Apple beurkundeten „Notarized“-Apps werden nun direkt von Apple überprüft. Der Entwickler gibt im Rahmen der Überprüfung an, welche Funktionen die Anwendung erfüllt und auf welche Dienste sie zugreifen muss. Einmal überprüft, wird das Paket mit diesen Rechten geschnürt und lässt sich nicht mehr verändern, ohne den Status „beurkundet“ zu verlieren.
Für Entwickler ist dieser Prozess mit zusätzlichem Aufwand verbunden, Anwender profitieren von einem verlässlicheren Schutzmechanismus. Beim Starten einer solchen Anwendung wird per Systemmeldung auf die Überprüfung durch Apple hingewiesen.
Von Apple zertifizierte, aber nicht beurkundete Apps können zwar weiterhin geöffnet werden, sind jedoch mit einem zusätzlichen Warnhinweis ausgestattet.
Apps von nicht verifizierten Entwicklern installieren
Wenn eine App geöffnet werden soll, die nicht von einem zertifizierten Entwickler stammt, gestaltet sich dies beim jeweils ersten Mal etwas aufwändig. Ihr müsst dazu mit gedrückter CTRL-Taste auf die App klicken und im Kontextmenü „Öffnen“ auswählen. Zudem ist die Eingabe von Anmeldedaten eines Nutzers mit Administratorrechten erforderlich. Dieses Vorgehen ist mit Blick auf die Systemsicherheit sinnvoll, zukünftig lässt sich eine so freigegebene App dann einfach per Doppelklick öffnen.
macOS kann schädliche Apps erkennen
Im Rahmen der Gatekeeper-Überprüfung kann macOS auch darauf hinweisen, dass von einer Anwendung potenzielle Gefahr ausgeht. In solch einem Fall erscheint eine entsprechende Meldung mit der Möglichkeit, die App direkt zu löschen und zudem Apple über den Malware-Fund zu benachrichtigen.
sudo spctl –master-disable und sesam öffne dich…
Streng genommen: sudo spctl –master-disable
—
(Benötigt man allerdings hauptsächlich für illegal erworbenen Kram.)
Oder aber für sehr viele der Dinge, die Hardware-nah arbeiten oder sich tief ins System einklinken. Perverser Weise lässt sich der „illegal erworbene Kram“ inzwischen meistens einsetzen, ohne dafür Schutzfunktionen auszuhebeln…
Ok, ok – man kann es machen, wie man will, aus zwei aufeinanderfolgenden Bindestrichen wird einer… nervig… Vor master-disable gehören zwei Bindestriche.
Einer der ersten Befehle, die ich nach einer Neuinstallation eintippe :-)
Im Ernst: Ich wünsch mir einen Hauptschalter: „schalt den ganzen „Sicherheits-Kram“ einfach ab, ich weiß, was ich tue“. Ich brauch keinen Gatekeeper, keine versteckte Library, keine Funktion, die mir das schreiben oder austauschen von Dateien in Systemverzeichnissen verbietet.
Ich muss inzwischen einen ganzen Stapel Dinge per Kommandozeile verbiegen, weil Apple mich vor irgendwas schützen mag, mir dadurch aber haufenweise Möglichkeiten nimmt. ICH mag entscheiden, was ich mit meinem System mache und wenn ich’s kaputt mache, dann muss ich das eben auch ausbaden. Der Versuch, den Benutzer vor sich selbst zu schützen (und Apples Pfründe zu mehren) ist IMO eh zum Scheitern verurteilt und macht den Menschen, die Ahnung haben, einfach nur völlig unnötige Arbeit.
Ok, das ist natürlich krass! Die Dinge, die ich mit dem Mac zu erledigen habe, bedürfen glücklicherweise nicht solcher Aktionen. Das ist natürlich ärgerlich, wenn man weiß, was man tut und immer wieder mit solch unnötigen Barrieren konfrontiert wird. — Ich muss allerdings ehrlich zugeben, dass ich nach einem master-disable ziemlich schnell wieder auf master-enable schalte. ;)
In einer vernetzten Welt müssen es leider auch Unbeteiligte ausbaden, wenn jemand sein System nicht im Griff hat. Die vielen Botnetze zeugen davon. Deshalb ist Apples Strategie vollkommen richtig, DAUs ein möglichst abgeschottetes System zu geben und Profis zu ermöglichen, es soweit aufzumachen wie man’s braucht.
@Stefan: So du es noch liest ;-)
Du hast im Grunde Recht. Ich hab ja prinzipiell auch gar nichts gegen solche Aktionen, aber ich mag sie abschalten können. Natürlich geht das aktuell, aber Apple macht es einem so unbequem wie nur irgendwie möglich. Und das nervt mich. Zumal man den ganzen Kram nach jedem größeren Systemupdate zumindest in Teilen neu „unsicher“ einstellen. Deshalb hätte ich gern einen zentralen Schalter dafür. Ich mag mich einfach nicht bevormunden lassen, übernehme für mein Handeln aber auch die Verantwortung und schieb sie nicht dem Hersteller zu. Ich habe ganz grundsätzlich ein Problem damit, wenn Andere entscheiden was gut für mich zu sein hat.
@ROP: Ob man so systemnahes Zeug „braucht“ halte ich für relativ. Man kann in der Regel ohne leben – aber viele von den „bösen“ Tools beschleunigen manche Dinge einfach ungemein und bieten Funktionen, die man der GUI nicht erreicht.
Es gibt keine Malware für den Mac
Und Windows ist bulletproof ;-)
Kann man generell Mackeeper sperren? Auf Macs von Freunden und Verwandten sehe ich alle paar Monate mal wieder mackeeper. Ein teuflisches Programm, dass man nur mit Aufwand wieder los wird!
Etwas am Thema vorbei…
Wieso am Thema vorbei. Bei diesem Programm sollte gerade der Gate Keeper anspringen und die Installation verhindern!
aufkaufen und einmotten – nach Apples Vorbild