Muss eine App auf tiefliegenden Systemkomponenten zugreifen, etwa um ein USB-Audiogerät zu steuern oder das System auf Viren zu scannen, ist eine spezielle Systemerweiterung nötig, auch Kernel Extension genannt. Mit dem Update auf macOS 10.14.5 Mojave hat Apple hier die Sicherheitsansprüche weiter erhöht: Eine „Kext“ benötigt nun eine Notarisierung durch Apple. Der Entwickler muss sie von Apple freigeben lassen, sonst wird sie vom System geblockt. Betroffen sind aber nur neue oder aktualisierte Kernel Extension, kann Apple doch nicht einfach Zehntausende weltweit genutzte Apps und Peripheriegeräte blockieren. Wie die Seite Eclectic Light auffiel , enthält das System offenbar bereits eine Liste dieser unverdächtigen Kernelextensions:
Unter /System/Library/Extensions befindet sich nämlich eine neue Version der Erweiterung AppleKextEcludeList.kext. Diese war bisher für das Blockieren bestimmter Erweiterungen zuständig und enthält dazu eine Liste zu blockender Kernel Extensions (beispielsweise Treiber von Ralink und Steinberg, die zu Kernelpanics führen). Nun enthält sie neben der Liste „KnownPanics“ aber zusätzlich eine riesige „ExceptionList“ offensichtlich eine Liste von Extensions, die vom System nicht geblockt werden sollen: Die 2 MB große Plist-Datei enthält Namen und Code von stolzen 18 800 Erweiterungen – von zahllosen Gerätetreibern, Sicherheitstools wie Little Snitch. Wie dieses System aber genau funktioniert, ist nicht ganz klar, so handelt es sich laut der Datei um „secure timestamp exception“.
Autor: Stephan Wiesend, Autor
Stephan Wiesend schreibt seit 2001 für IDG Artikel zu den Themen Mac-OS, iOS, Software, Hardware und Praxis. Seit 2003 arbeitet er als freier Autor in München und hat bereits mehrere Bücher zum Thema Apps veröffentlicht.