Sicherheitsfeature in Ventura: Background Task Manager schützt nur unzureichend
15.08.2023 13:08 Uhr Ben Schwan
Du musst angemeldet sein, um Bilder zu sehen.
(Bild: LuckyStep/Shutterstock.com)
Der bekannte Security-Forscher Patrick Wardle hat Fehler in Apples neuem Sicherheitssystem für Hintergrundprozesse gefunden. Das sei leicht zu umgehen.
Mit macOS 13 alias Ventura [1], das Apple im vergangenen Oktober freigegeben hat, kommt auch eine neue Sicherheitsfunktion auf den Mac: Der sogenannte Background Task Manager. Dieser soll dabei helfen, problematische Hintergrundprozesse zu erkennen und zu stoppen beziehungsweise Nutzer über diese zu informieren. Das funktioniert allerdings nur so halb, wie der bekannte Sicherheitsforscher Patrick Wardle auf der Sicherheitskonferenz Defcon in Las Vegas demonstriert [2] hat.
Mindestens drei Exploits gefunden
Das Anti-Malware-Werkzeug sei "trivial" einfach zu umgehen, obwohl es dabei helfen soll, persistente Datenschädlinge zu erkennen. Es sei zwar gut, dass Apple ein solches Feature endlich eingebaut habe. "Aber die Implementierung ist so schlecht, dass nahezu jede etwas intelligentere Malware die Überwachung umgehen kann", sagte Wardle gegenüber dem US-Magazin Wired [3]. Zunächst gab es gleich zur Einführung des Background Task Managers das Problem, dass es keine oder unzureichende Benachrichtigungen gab. Nach Meldung durch Wardle wurde das mittlerweile gefixt [4].Allerdings löste dies das grundlegende Problem nicht. Wardle fand mittlerweile mindestens drei verschiedene Methoden, das Monitoring zu umgehen – eine davon benötigt allerdings Root-Zugriff, könnte Angreifern aber so helfen, noch mehr problematische Hintergrundprozesse zu installieren, ohne dass Nutzer etwas mitbekommen.
Kein Responsible Disclosure
Die beiden Exploits ohne Root-Pflicht sind cleverer: Der eine nutzt einen Bug im Zusammenhang mit der Kommunikation mit dem macOS-Kernel, der andere legt Prozesse, die für das Background Task Monitoring zuständig sind, schlafen – obwohl das für derart systemnahe Prozesse eigentlich nicht gehen sollte.Wardle wendete bei der Veröffentlichung der Fehler nicht das übliche Responsible Disclosure [5] an, gab Apple also keine Warnung vorab. Der Grund: Er habe den Konzern bereits zuvor über die möglichen Angriffspunkte (und die grundlegenden Probleme) des Background Task Managers informiert. Hinzu kommt, dass frühere macOS-Versionen überhaupt nicht über eine Hintergrundprozessüberwachung verfügt haben. Wie Apple nun reagiert, ist unklar – ob die grundlegenden Probleme zu beheben sind, weiß auch Wardle nicht.
[7]
(bsc [8])
URL dieses Artikels:
Sicherheitsfeature in Ventura: Background Task Manager schützt nur unzureichend
Der bekannte Security-Forscher Patrick Wardle hat Fehler in Apples neuem Sicherheitssystem für Hintergrundprozesse gefunden. Das sei leicht zu umgehen.
