2374607

Sicherheitslücke in macOS? Malware-Attacke per Browser-Befehl

05.09.2018 | 15:20 Uhr | Stephan Wiesend

Patrick Wardle hat eine Angriffsmethode vorgestellt, bei der man Malware per URL-Schema installiert.

macOS ist gut gegen Malware geschützt, oft gelingt es aber einem Hacker, unerfahrene  Benutzer auszutricksen und ihnen Malware trotzdem unterzuschieben. Eine interessante neue Methode, wie man den Nutzer zur Installation von Schadsoftware verleitet, hat jetzt der Sicherheitsforscher Patrick Wardle veröffentlicht. Der Entwickler nutzt dazu eine nützliche Komfortfunktion des Systems namens URL-Schema.

Diese speziellen URL-Adressen ermöglichen den Aufruf einer auf dem Mac installierten Mac-App durch eine Webadresse: Mit einer Adresse mit dem Anfang „mailto://“ öffnet man eine E-Mail-Adresse in einem E-Mail-Client, mit „facetime://“ in Facetime. Man kann sogar eigene URL-Schemata für ein Programm definieren, Wardle hat seiner Test-App etwa das URL-Schema „windshift“ zugewiesen. Das Programm muss dazu nicht einmal installiert sein, schon wenn Safari die App heruntergeladen und entpackt hat, erkennt das System automatisch dieses neue Schema.

Der Angriff von Wardle läuft dann folgendermaßen ab: Ein nichtsahnender Surfer besucht mit Safari eine Webseite und lädt ohne es zu bemerken eine Datei auf seinen Mac. Ist das automatische Entpacken von Zip-Dateien aktiv, wird dieses Malware-Programme automatisch entpackt und das System erkennt automatisch ein URL-Schema namens „windshift“.

Die Webseite lädt nun im Safari des Surfers eine Webseite mit diesem URL-Schema und der Nutzer sieht ein Fenster des Systems: Dieses fragt, ob der Surfer das Laden einer Webseite erlauben will. Da der Name der Webseite frei wählbar ist, etwa auch „Apple.com“ werden nicht wenige dem zustimmen. Die Malware auf dem Mac wird nun gestartet, allerdings warnt bei neueren Systemen dann Gatekeeper, dass eine aus dem Internet geladene App geöffnet wird. Hier muss Wardle eine Einschränkung machen: Die meisten Anwender werden dies voraussichtlich als seltsam einschätzen und den Programmstart verbieten. Nicht wenige werden aber wohl auf „Öffnen“ klicken und so die Installation der Malware und Übernahme ihres Macs erlauben - etwa einen Trojaner oder eine andere Schadsoftware.

Das automatische Öffnen von Dateien sollte man besser deaktivieren.
Vergrößern Das automatische Öffnen von Dateien sollte man besser deaktivieren.

Als Schutz vor dieser Attacke empfiehlt Wardle das automatisch Öffnen von Archiven in Safari zu deaktivieren – oder auf Google Chrome umzusteigen.

Unsere Meinung : Das Konzept von Wardle ist ein gutes Beispiel, wie man unerfahrene Surfer überlisten könnte. Die Gefahr ist nach unserer Einschätzung zwar eher gering, so sind bisher keine Angriffe mit dieser Methode bekannt geworden. Das automatische Öffnen von sicheren Dateien sollte man aber als Safari-Nutzer wohl wirklich besser deaktivieren und bei nicht ganz verständlichen Systemmeldungen sollte man äußerst wachsam sein.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2374607