2531066

Peinlicher Fehler: Apple notarisierte Schadsoftware

01.09.2020 | 14:16 Uhr | Stephan Wiesend

Notarisierungen sollen Software als ungefährlich einstufen, offensichtlich haben Malware-Autoren Apples System aber mehrmals überlistet.

Apples mit macOS 10.14 neu eingeführte Notarisierung ist für alle App-Entwickler verpflichtend und soll für mehr Sicherheit sorgen. Vor der Veröffentlichung einer App muss der Entwickler die App von Apple auf Malware überprüfen lassen, per Webdienst. Besteht die Software die Prüfung, erhält sie eine kleine Datei, die sie als geprüft und unschädlich ausweist. Ein Nutzer kann sie dann ohne Warnmeldungen durch Gatekeeper sofort installieren.

Wie der Sicherheitsforscher Patrick Wardle berichtet , wurde dieses System aber offensichtlich überlistet. Auf einer Webseite namens homebrew.sh wurden Besucher aufgefordert, einen Adobe Flash Player zu installieren, der in Wirklichkeit eine Adware installiert – ein verbreiterter Malware-Angriff des Typs OSX.Shlayer. Die Malware installiert statt dem Flashplayer eine Safari-Erweiterung, die gezielt Werbung anzeigt. Die Besonderheit: Der Installer, der versucht die Adware zu installieren, war von Apple notarisiert. Offensichtlich war es den Malware-Autoren gelungen, ihre Schadsoftware von Apple prüfen lassen und Apple war nichts aufgefallen. Schlimmer noch: Ein Surfer wird in Sicherheit gewogen und sieht bei der Installation keine Warnung.

Apple wurde von Wardle informiert und reagierte schnell: Eine Notarisierung kann von Apple als ungültig erklärt werden, indem die Entwickler-ID des Entwicklers für ungültig erklärt wird. Eigentlich sollte die Malware damit unschädlich gemacht sein, ab sofort sieht der Nutzer beim Öffnen des bemängelten Installers eine Malware-Warnung.

Wie Wardle kurz nach Veröffentlichung seines Beitrages erfuhr, tauchte die Malware aber kurz darauf erneut auf: mit einer neuen Entwickler-Signatur eines anderen Entwicklers und einer neu vergebenen Notarisierung. Offenbar hatten die Autoren die Malware sofort neu notarisiert – und Apple hatte die Adware wieder durchgewunken. Wie Apple auf Anfrage von "Tech Crunch" anmerkte, wurde diese Adware aber ebenfalls sofort für ungültig erklärt.

Macwelt Marktplatz

2531066