Sicherheitsexperten umgehen Sandbox-Mechanismus von Mac-OS X

Apple hält die spezielle Methode jedoch nicht für ein Sicherheitsproblem, hat laut Core Security jedoch eine genauere Dokumentation angekündigt, in der Apple die Grenzen des Sandboxing genauer beschreiben will.

Grundsätzlich dient Sandboxing dazu, Programmen den Zugriff auf andere Programme oder Systemfunktionen zu untersagen. Erhält etwa ein Angreifer Zugriff auf ein bestimmtes Programm, kann er nur in diesem Sandkasten agieren und keine weiteren Programme oder das Betriebssystem attackieren. Damit Entwickler ihre Programme in Sandboxes packen können, stellt Apple einige Profile bereit. Eines dieser Profile heißt kSBXProfileNoNetwork und beschränkt den Zugang eines Programms auf das lokale Netz, das Profil kSBXNoInternet den auf das Internet. Laut Core Security erlauben die beiden Profile jedoch, Apple-Script-Events an andere Anwendungen zu senden. In einem Proof of Concept entwickelten die Forscher einen Exploit, der die die Scripting-Sprache osascript anspricht, um einen Prozess außerhalb einer Sandbox zu starten. Praktisch könnte ein Angreifer damit einen Prozess anregen, der trotz Verbot der Sandbox auf das Internet zugreift.

Core Security kritisiert den trügerischen Eindruck von Sicherheit, den die Profile erzeugen. Apple, das am 20. September informiert wurde, sieht jedoch kein Sicherheitsproblem. Die Dokumentation des Sandboxing enthalte keinen Hinweis darauf, dass Script-Events unterdrückt würden. Bei der Dokumentation will Apple jedoch nacharbeiten und diesen Fakt deutlicher herausstellen. Laut Paul Duklin von Sophos können Programmierer den Exploit von Core Security leicht umgehen, indem sie ihrem Programm den Zugriff auf /usr/bin/osascript verbieten.

Ab kommenden Jahr lässt Apple nur noch Sandbox-fähige Programme für den Mac App Store zu.