01 Okt

Bypass Apple’s Gatekeeper – Malware auf den Mac schmuggeln

Der leitende Sicherheitsforscher Wardle hat den Sicherheitsmechanismus „Gatekeeper“ von Apples Betriebssystem OS X umgangen und unsignierten Code ausgeführt.

Der Gatekeeper überprüft Programme vor der Installation und prüft, ob diese aus einer vertrauenswürdigen Quelle stammen. Wenn das der Fall ist, sind diese entsprechend signiert und das Programm kann installiert werden. Wardle zeigte jedoch auf, dass man diese Überprüfung vergleichsweise einfach umgehen kann.

Als Einfallstor setzte Wardle auf eine von Apple als vertrauenswürdig eingestufte Binär-Datei. In seinem Test packte er diese in ein Apple Disk Image, welche er mit einer weiteren, nicht-signierten Anwendung auffüllte.

Beim Installieren hat Gatekeeper die signierte Binär-Datei als vertrauenswürdig eingestuft und im gleichen Zuge auch die nicht-signierte Anwendung durchgewinkt und ausgeführt. Das passiert, weil Gatekeeper nur die erste Anwendung prüft und das folgende nicht mehr.

(teilw. ct anw)