Sicherheitslücke in OS X umgeht Gatekeeper

In OS X wurde eine Sicherheitslücke gefunden, die den Schutzmechanismus Gatekeeper umgehen kann. Demnach kann ein signiertes Programm, das Gatekeeper für vertrauenswürdig hält, ein beliebiges anderes Programm aufrufen, ohne dass Gatekeeper noch einmal tätig wird.

Patrick Wardle von Synack hat arsTechnica mitgeteilt, dass bei korrekter Präparierung von Programmen Gatekeeper nutzlos ist. Gatekeeper ist eine Technologie in OS X, die es erlaubt, unsignierte Programme nicht auszuführen. Man kann Gatekeeper sogar so streng einstellen, dass nur Apps aus dem Mac App Store gestartet werden können.

Das Problem hierbei liegt darin, dass Gatekeeper eine App nur beim Aufruf prüft – was danach passiert, geht an Gatekeeper vorüber. Das bedeutet, dass ein Programm auch ein anderes öffnen kann, das dann nicht noch einmal von Gatekeeper unter die Lupe genommen wird. Wichtig ist dabei nur, dass das nicht signierte Programm im selben Ordner ist wie das von Gatekeeper abgenickte. Das funktioniert auch dann, wenn Gatekeeper eigentlich nur Apps aus dem App Store durchlassen sollte.

Wardle gibt an, Apple schon vor zwei Monaten über das Problem informiert zu haben. Laut arsTechnica arbeitet das Unternehmen an einem Update, das diese Unzulänglichkeit behebt.