VG-Wort Pixel

Malware Gefährlicher Patzer: Apple winkt Schadsoftware durch Sicherheitsprüfung - und das gleich zweimal

Mit Schadsoftware rechnen viele Mac-Nutzer gar nicht (Symbolbild)
Mit Schadsoftware rechnen viele Mac-Nutzer gar nicht (Symbolbild)
© laflor / Getty Images
Auf Apples Mac-Rechnern hat es Schadsoftware normalerweise schwer. Nun konnte sich die Malware Shlayer gleich zweimal durch die Sicherheitsmaßnahmen des Konzerns schmuggeln. 

Eigentlich sollte die gerade erst eingeführte Maßnahme Mac-Rechner noch sicherer machen: Seit Februar müssen selbst Programme aus Drittquellen von Apple als ungefährlich beurteilt werden. Sonst weigert sich das System, sie auszuführen. Doch der Schädling Shlayer konnte das trotzdem umgehen - und das gleich zweimal. Für Apple wirft der Patzer unangenehme Fragen auf.

Die Idee der Sicherheitsmaßnahmen ist an sich gut. Die meisten Schädlinge für MacOS machen sich heute die Naivität der Nutzer zunutze - und überreden sie mit Tricks, die Installation selbst zu starten. Die heimliche Installation im Hintergrund spielt heutzutage auf Apple-Rechnern quasi keine Rolle mehr. Anders als auf dem iPhone lassen sich auf dem Mac aber Programme nicht nur über Apples geprüften App Store installieren, sondern auch von externen Quellen. Um vor einer Infektion aus diesen Quellen zu schützen, verlangt Apple seit Anfang des Jahres von allen Entwicklern eine Sicherheitsgarantie. Sonst lässt sich das System nur noch über große Umwege dazu überreden, die App zu starten. Doch genau die hatte Shlayer nun ausgehebelt: Die Schadsoftware war von Apple als sicher beurteilt worden.

Zufallsfund

Entdeckt wurde die Panne durch Zufall von einem Studenten, berichtet "Wired". Der hatte sich auf der Suche nach Software bei der Webseite vertippt - und landete auf einer Fake-Seite, die ihm eine vermeintliche Version des Adobe Flash Player unterjubeln wollte. Weil er sich auf Grund von Apples Sicherheitsmaßnahmen sicher fühlte, lud der Student sie trotzdem herunter und stutzte, als MacOS ihm die Installation erlauben wollte. Als er sie an den Sicherheitsexperten Patrick Wardle weiterleitete, stellte sich heraus: Apple hatte den Schädling als sicher eingestuft und ihm die benötigte Beglaubigung ausgestellt.

Sobald der Fehler letzte Woche gemeldet wurde, reagierte Apple schnell, der Schadsoftware wurde noch am selben Tag die Beglaubigung entzogen. Dadurch wurde nicht nur die Installation geblockt, sie wurde auch auf allen betroffenen Systemen deaktiviert. Doch zwei Tage später staunte Wardle nicht schlecht: Bei einem erneuten Versuch konnte er den Schädling doch wieder installieren. Der Entwickler hatte sich mit einem neuen Entwickler-Account auch eine neue Beglaubigung erschlichen und das Programm damit wieder aktiv geschaltet. Mittlerweile ist auch der zweite Account und seine Beglaubigung gesperrt.

"Schadsoftware entwickelt sich ständig. Apples Beglaubigungssystem hilft uns dabei, die Malware vom Mac fern zu halten und schnell reagieren zu können, wenn doch welche entdeckt wird", erklärte der Konzern gegenüber "Wired". Sobald man informiert worden war, habe man den Account gesperrt, erklärte Apple. Zudem bedankte man sich für die Mithilfe des Sicherheitsexperten.

Die Katastrophe blieb aus

Zu groß ist der Schaden zum Glück nicht: Bei Shlayer handelt es sich um sogenannte "Adware", eine verhältnismäßig harmlose Malware-Variante. Der Schädling klinkt sich in Websuchen ein, jubelt den Nutzern eigene Werbung unter und spült dem Betreiber so Geld in die Kassen. Shlayer ist für Mac-Verhältnisse sehr weit verbreitet, das Programm soll sich nach Schätzungen von Kaspersky schon auf jedem zehnten Mac eingenistet haben. Das war allerdings vor der Einführung der Beglaubigungen.

Wie genau das Programm sich zweimal durch Apples Prüfung schmuggeln konnte, ist nicht ganz klar. Anders als in den App Stores für iOS oder Mac werden bei dem Beglaubigungs-System die Programme nicht von Hand auf Schadcode geprüft. "Die Beglaubigung ist nicht dasselbe wie der App-Prüfprozess", bestätigte der Konzern. Stattdessen durchlaufen sie automatische Prüfungen, die bösartiges Verhalten der App entdecken sollen. Ziel sei es, den Entwicklern eine schnelle Bestätigung geben zu können. 

Bei dieser Prüfung scheint das schädliche Verhalten Shlayers offenbar nicht entdeckt worden zu sein. Das könnte ausgerechnet daran liegen, dass das Programm im Vergleich recht harmlos ist: Anders als bei aggressiven Trojanern die Daten oder Tastatureingaben abgreifen oder gar die Kontrolle des Rechners übernehmen, reicht Adware ein recht oberflächlicher Zugriff aufs System aus. "Bei der Entdeckung von Schadsoftware kann jedem ein Fehler passieren. Es ist wirklich schwer", zeigt Sicherheitsexperte Wardle Verständnis für Apples Position. "Ich glaube trotzdem, dass die Beglaubigung eine gute Entscheidung ist."

Fehler bleiben nicht aus

Er habe schon länger vermutet, dass die Schädlings-Entwickler sich einen Weg um Apples Sicherheitsmaßnahme herum suchen würden, erklärte Wardle. So seien bereits Programme im Umlauf, die auf die Unbedarftheit der Nutzer setzen und sie genau durch die Schritte lotsen, mit denen man die Sicherheitsmaßnahme umgehen kann. Gegen ein solches Vorgehen kann dann auch eine genauere Prüfung nichts ausrichten, wenn man die Installation ohne Beglaubigung nicht komplett verbieten möchte.

Will man auf Nummer sicher gehen, bleiben einem ohnehin noch weitere Optionen. Im auf jedem Mac vorinstallierten App Store finden sich wie beim iPhone nur Programme, die von Apple händisch und ausführlich geprüft wurden. Wer auf Programme aus Drittquellen nicht verzichten will, kann zudem einen Virenscanner installieren. Die ließen sich von der erschlichenen Beglaubigung nicht täuschen - und schlugen bei Shlayer trotzdem an.

Quelle:Wired


Mehr zum Thema


Wissenscommunity


Newsticker