Der Vorwurf ist alt: Entwickelt eine Behörde Überwachungssoftware, könnte diese in falsche Hände geraten. Auf die meisten wirkt diese Gefahr wohl ziemlich akademisch, in einer Präsentation hat jetzt allerdings ein Sicherheitsforscher vorgeführt, wie dies in der Praxis ablaufen könnte. Wie der mittlerweile für die Softwarefirma Jamf arbeitende Mac-Sicherheitsprofi Patrick Wardle in einer Präsentation zeigt, ist es nämlich gar nicht so schwer, vorhandene Mac-Malware umzuschreiben und für neue Angriffe zu nutzen – selbst unter Catalina.
Das gilt für bekannte Malware, aber leider auch für Überwachungsprogramme, die ursprünglich von Staatsorganen geschrieben wurden. Auch diese können in falsche Hände geraten und für illegale Zwecke genutzt werden. Wie Wardle anmerkt, wurden US-Behörden wie CIA und NSA allein 2018 mit 60 Milliarden Dollar ausgestattet, genug Geld für erstklassige Software-Entwicklung und Nutzung noch unbekannter Lücken in macOS und iOS. Manche dieser Spionage-Tools sind bereits in falsche Hände geraten. Es ist anscheinend längst üblich, dass ausländische Mächte die Spionage-Tools ihrer Gegner einsetzen, so sollen laut NYT chinesische Nachrichtendienste für Angriffe auf Unternehmen auf NSA-Hacking-Tools zurückgegriffen haben – auch um die Herkunft der Angriffe zu verschleiern. Aber auch Kriminelle könnten immer öfter auf Versionen dieser Tools zugreifen, um Unternehmen oder Privatleute zu schädigen.
In einer ausführlichen Präsentation hat Wardle vorgeführt , wie man ein bekanntes Tool für eigene Zwecke nutzen könnte.
Das erste Hindernis: Vor der Nutzung eines solchen Tools muss es analysiert und die Steuerungsfunktionen verstanden werden. Will man eine Malware von außen steuern, muss ein sogenannter Command-and-Control-Server eingerichtet werden, mit dem die Malware kommuniziert und etwa zusätzliche Spyware nachlädt. Für sein Projekt wählte Wardle allerdings keine geheime NSA-Spyware, sondern bekannte Mac-Malware von Hackern: Als erstes Beispiel die von einem Hacker aus Ohio entwickelte Spyware Fruitfly bzw. OSX.FRUITFLY aus, die Wardle nur leicht abändern musste. Auch Apples Schutzfunktion Xprotect ließ sich relativ leicht überlisten. Weitere Beispiele in der Präsentation sind die Ransomware Keranger , die Backdoor Windtail und AppleJeus.
Ein bekannter Schwachpunkt von Apples integriertem Malware-Scanner Xprotect macht es dem Hacker dabei leicht: Leider schützt Apples Sicherheitsfunktion nur vor bereits bekannter Mac-Malware wie der Originalversion von Fruitfly, da die Funktion nur Signaturen bekannter Fruitfly-Versionen kennt. Ändert man aber bei einer neuen Version nur einige Details im Quellcode, wird die neue Version nicht mehr erkannt und bleibt unentdeckt. Das gilt leider auch für Apples Tool MRT, das ebenfalls auf sogenannten Signaturen bekannter Malware-Arten basiert. Auch hier genügen kleine Abänderungen und die Signaturprüfung schlägt fehl. Eine weitere Schutzfunktion sind Zertifikate: Nur ein Programm mit einem gültigen Entwicklerzertifikat darf unter neueren MacOS-Systemen laufen. Allerdings ist es möglich, bei einer Malware ein altes Zertifikat zu entfernen und ein neues zu ergänzen – wobei allerdings Wardle verschweigt, dass es nicht ganz einfach ist, ein solches Zertifikat zu besorgen. Nicht ganz uneigennützig empfiehlt Wardle schlussendlich eine Sicherheitssoftware, die Malware an ihrem Verhalten erkennt – wie sein Tool Jamf Protect.
Autor: Stephan Wiesend, Autor
Stephan Wiesend schreibt seit 2001 für IDG Artikel zu den Themen Mac-OS, iOS, Software, Hardware und Praxis. Seit 2003 arbeitet er als freier Autor in München und hat bereits mehrere Bücher zum Thema Apps veröffentlicht.