2369551

High Sierra: Malware kann „Erlauben“-Button auslösen

13.08.2018 | 13:50 Uhr | Stephan Wiesend

Patrick Wardle stellt neuen Trick vor um Sicherheitsabfragen im Schlüsselbund per Codebefehl zu umgehen.

Will ein Hacker Malware oder Spion-Software auf einem Mac installieren, muss er dazu einige Schutzfunktionen überwinden. Will eine Software oder Malware eine Kernel-Extension oder auf den Schlüsselbund zugreifen, muss der Nutzer nicht immer ein Kennwort eingeben, aber zumindest einen Button drücken, um die Installation zu erlauben. Dadurch wurde schon oft Malware erkannt und ein Installationsversuch abgewehrt. Diese Funktion schützt ab High Sierra etwa vor der unerkannten Installation einer Kernel-Extension.

Es gab allerdings bereits Malware wie OSX.Fruitfly oder OSX.Devil Robber, die sich diese Bestätigung per Apple Script oder Core-Graphics-Befehl selbst gaben: Durch einen so genannten synthetischen Klick, einer Simulierung eines Mausklicks per Software. Unter High Sierra sollte dies eigentlich nicht mehr möglich sein, wird diese Option doch vom System bei sensiblen Bereichen geblockt.

Der Sicherheitsexperte Patrick Wardle hat allerdings auf der Defcon eine neue Methode vorgestellt, um diese Schutzfunktion zu überwinden. Eine Software kann sich nach Entdeckung von Wardle diese Nutzerbestätigung weiterhin selbst geben: Es gibt einen Programmfehler im System, auf den Wardle durch Zufall stieß. Eigentlich besteht ein kompletter synthetischer Klick aus den Befehlen für „Down“ und „Up“. Gibt man stattdessen den Befehl für „Up“ zwei Mal ein, wird der Befehl vom Sicherheitssystem nicht geblockt, aber vom System als Eingabe gewertet.

Die Durchführung des Befehls könnte zwar vom Benutzer bemerkt werden, in seinem Vortrag hat Wardle  aber zusätzlich eine Methode vorgestellt, wie man dies verbergen könnte: Indem man zeitgleich den Bildschirm abdunkelt oder wartet, bis dieser von Selbst in den Schlafmodus fällt. In diesem Moment sind nämlich diese Eingaben durchführbar, für den Nutzer aber nicht sichtbar.

Anfällig sind eigentlich alle Funktionen, die keine Passworteingabe, aber das Anklicken eines Buttons erfordern – etwa Schlüsselbund oder die Systemeinstellung Sicherheit.

Hinweis: Die Angriffsmethode ist ein interessanter Ansatz, bisher ist allerdings noch keine Malware bekannt, die sie verwendet hat. Da es aber ein offenkundiger Fehler im System ist, wird Apple ihn hoffentlich bald korrigieren.

Macwelt Marktplatz

2369551