Auf der Defcon-Hackerkonferenz in Las Vegas hat der renommierte Sicherheitsforscher Patrick Wardle auf gravierende Schwachstellen im Background-Task-Management (BTM) von Apples macOS aufmerksam gemacht. Dieses BTM sollte eigentlich ein Warnsystem darstellen, das Nutzer vor potenziellen Malware-Infektionen schützt. Doch Wardle konnte nachweisen, dass Angreifer diese Schutzmechanismen umgehen können.
Die Kernidee des BTM besteht darin, Nutzer vor sogenannter persistenter Malware zu warnen. Diese Art von Schadsoftware verankert sich tief im System und übersteht selbst Neustarts des Computers. Das System sollte Benutzer benachrichtigen, wenn eine Anwendung versucht, diese Art von Persistenz zu erreichen. Solche Warnungen werden oft als ungefährlich abgetan, wenn sie direkt im Anschluss an die Installation einer App auftauchen. Jedoch könnten unerwartete Warnungen auf eine potenzielle Malware-Infektion hinweisen.
Wardle schätzt grundsätzlich die Intention von Apple, die Sicherheit für macOS-Nutzer zu erhöhen. Dennoch hebt er hervor, dass die tatsächliche Umsetzung dieses Mechanismus erhebliche Mängel aufweist. Er argumentiert, dass selbst ausgeklügelte Malware-Programme die Überwachung des Systems problemlos umgehen könnten. In einer eindrucksvollen Demonstration präsentierte der Forscher auf der Konferenz drei verschiedene Wege, wie Angreifer die Persistenz-Warnungen von macOS umgehen können. Dabei erfordert lediglich eine dieser Methoden Root-Zugriff auf das betroffene Gerät.
Wardle enthüllte auch, dass er eine Kommunikationsschwachstelle zwischen Apples Warnsystem und dem Kernel des Betriebssystems ausnutzen konnte, um eines dieser Exploits zu ermöglichen. Ein weiterer Ansatz nutzte die Fähigkeit unprivilegierter Benutzer aus, Prozesse in den Ruhezustand zu versetzen, wodurch die Warnungen unterdrückt wurden. Technische Details zu den genauen Vorgängen wurden allerdings nicht im Detail offengelegt.
Die Qualität weist noch Raum für Verbesserungen auf.
Vor diesem Hintergrund zeigt sich, dass Wardle Apple bereits zuvor auf Probleme im BTM aufmerksam gemacht hat. Obwohl einige dieser Probleme behoben wurden, vernachlässigte Apple offenbar die grundsätzliche Verbesserung der Tool-Qualität, was die Entdeckung dieser neuen Schwachstellen ermöglichte. Wardle kritisiert Apples Vorgehensweise, solche Tools eilig ohne ausreichende Tests bereitzustellen, da dies den Nutzern ein trügerisches Gefühl der Sicherheit vermitteln könnte. Er betont, dass Apple die komplexe Natur dieser Funktion nicht ausreichend erkannt habe und eine gründlichere Überarbeitung notwendig gewesen wäre.