Gatekeeper auf Mavericks erlaubt riskante Ausnahmen

Originalartikel von Lawrence Lin, Targeted Attacks Analyst

Zu den Sicherheitsfunktionen der Mac OS X-Plattform gehört der Gatekeeper, den es seit 2012 gibt. Er arbeitet mit Lion, Mountain Lion und Mavericks zusammen. Wird ein Programm aus dem Internet heruntergeladen, so prüft der Gatekeeper erst dessen digitale Signatur, bevor er es auf Basis der Einstellungen des Nutzers freigibt. Diese Arbeitsweise hat sich in Mavericks geändert.
Nutzer haben verschiedene Möglichkeiten: Sie können lediglich solche Anwendungen aus dem Mac App Store erlauben, alle oder Anwendungen aus dem Mac App Store und gleichzeitig diejenigen mit einer gültigen digitalen Signatur (also von einem Apple-zertifizierten Entwickler). Letztere Einstellung ist der Standard in Mountain Lion.

Gatekeeper arbeitet nur mit Dateien, die das Extension-Attribut quarantine haben. Wird eine Datei heruntergeladen, so setzt die Anwendung (im Normalfall der Browser), mit der der Download durchgeführt wird, das Extension-Attribut quarantine des Programms. Auch die Quelle und Zeitpunkt des Herunterladens werden in dem Extension-Attribut festgehalten.

Bild 1. Extension-Attribute eines herunter geladenen Archivs

Auch wenn die Applikation in einem Archiv oder einem Disk Image gespeichert ist, wird das quarantine-Attribut vom Quell-Archiv oder -Image herüberkopiert. Das Attribut enthält auch eine UUID, die das OS X dafür nutzt, um die Spur zur Quelldatei verfolgen und dem Nutzer Informationen geben zu können.

Bild 2. Die geerbten Attribute der extrahierten Datei

Versucht ein Nutzer, eine Anwendung auszuführen, die den Settings des Gatekeepers nicht entspricht, so erhält er einen Alert. In früheren Versionen zeigte der Alert die aktuellen Einstellungen des Gatekeepers, in Maverick nicht mehr.

Bild 3. Neue und alte Warnung

Will der Nutzer eine Anwendung ausführen, die vom Gatekeeper blockiert wurde, so gibt es mehrere Möglichkeiten. Er kann den Gatekeeper abschalten, indem er alle Anwendungen erlaubt. Ein Power-Nutzer könnte auch das quarantine-Attribut entfernen oder den Befehl spctl absetzen, um eine neue Regel im Policy-Sicherheitsprüfsystem hinzuzufügen.


Bild 4. Der “spctl”-Befehl zur Änderung von Policies

Mavericks liefert eine neue Option. Unter Security & Privacy der System Preferences können Nutzer nun durchsetzen, die letzte blockierte App auszuführen. Diese Möglichkeit, eine einzige nicht signierte Anwendung auszuführen, ist anwenderfreundlicher als die beiden beschriebenen Methoden.


Bild 5. Neue Mavericks Dialogbox

Der erste Teil des durch Komma getrennten quarantine-Werts stellt die Quelle der Datei dar. Im Beispiel hat Safari das Testprogramm heruntergeladen und den Wert auf 0002 gesetzt. Verwendet der Nutzer nun die Option “Open Anyway”, wird dieser Wert geändert (die dritte Ziffer wird auf 6 gesetzt). Damit aber erlaubt der Gatekeeper die Anwendung.

Doch der Nutzer kann dieses quarantine-Attribut auch beibehalten. Wird die Datei auf einen anderen Mac verschoben (kopiert in ein kompatibles Dateisystem), so behält diese Einstellung auch dort ihre Gültigkeit.


Bild 6. Quarantine-Wert eines erlaubten Programms

Dies zeigt eine Möglichkeit, wie ein Angriff den Gatekeeper umgehen kann. Erlaubt ein Nutzer die Ausführung eines nicht signierten Progamms auf seinem Mac, so kann die Datei auch auf andere Macs verteilt werden (Freigaben für Verzeichnisse und USB-Sticks) und das Attribut beibehalten. Auf diesen anderen Systemen kann dann das Programm ausgeführt werden, ohne dass eine Warnung angezeigt wird.


Bild 7. Gatekeeper erlaubt die Ausführung einer Anwendung

Fazit: Mavericks liefert Nutzern eine einfachere Möglichkeit, Ausnahmen zum Gatekeeper zu erzeugen. Damit aber gehen sie ein Risiko ein. Es wäre besser gewesen, wenn Apple diese Möglichkeit so aufgesetzt hätte, dass die Ausnahme nur auf dem eigenen System gilt, also auch das Risiko nur den einen Nutzer betrifft.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*