matomo

Bester Deal des Jahres - erhalte zum Black Friday 77% Rabatt auf unseren 2-Jahres-Plan! Hol dir den Deal

Potentielles Sicherheitsproblem bei macOS Big Sur

Maximilian Holm, Über uns Online-Datenschutz

Nach dem Big Sur-Update für MacOS wurde ein neues Sicherheitsproblem aufgedeckt. Das Problem dreht sich um die Genehmigung von Apps durch Apple und ist eine Sicherheitsfunktion, die von Apple verwendet wird, um zu überprüfen, dass Apps nicht schädlich sind und nicht verändert wurden.

Was ist geschehn?

Sollten Sie in letzter Zeit versucht haben, Programme auf Ihrem Mac zu öffnen, haben Sie vielleicht bemerkt, dass die Programme entweder nicht gestartet werden konnten oder sehr lange zum Starten brauchten.

Das liegt daran, dass moderne Versionen von MacOS jedes Mal, wenn Sie ein Programm starten, einen Hash an Apple sendet, und (möglicherweise aufgrund des Big Sur-Updates) die Apple-Server wirklich äußerst langsam liefen. So langsam, dass der Hash, der an Apple gesendet wird, nicht gesendet werden konnte und den Offline-Code nicht ausgelöst hat. Dies wiederum führt dazu, dass alle Anwendungen, die nicht von Apple stammen, nicht gestartet werden können.

Immer wenn Sie eine Anwendung auf Ihrem MacOS-Computer starten, sendet der Computer eine Nachricht an ocsp.apple.com, die die folgenden Informationen enthält:

Datum, Uhrzeit, Computer, ISP, Stadt, Bundesland, Applikations-Hash

Wie bei jedem Server, mit dem Sie kommunizieren, kann der Server auch Ihre IP-Adresse sehen. Dies eröffnet ein potenzielles Problem mit allen modernen macOS-Computern, bei denen sie Ihnen sowohl Ihre normale IP-Adresse als auch die VPN-IP-Adresse zuordnen können. Wenn Sie eine VPN-Anwendung starten, werden die oben genannten Informationen unter Verwendung Ihrer ISP-IP-Adresse an die Server von Apple gesendet. Nachdem Sie eine Verbindung hergestellt und eine andere Anwendung gestartet haben, würde eine neue Anfrage an einen Server von Apple mit Ihrer VPN-IP-Adresse getätigt, was bedeutet, dass Ihre VPN-IP-Adresse unter Verwendung der Informationen, die Apple über Sie gespeichert hat, möglicherweise wieder mit Ihnen verbunden werden könnte.

Was noch schlimmer ist: Die Informationen verbleiben nicht nur bei Apple, sondern die Anfragen, die Ihr Computer sendet, sind unverschlüsselt, d.h. Ihr Internetanbieter oder jeder andere im selben Netzwerk, wie Sie diese sehen können, sowie jeder andere, der möglicherweise ihre Kabel angezapft hat. Sie werden auch an einen Server gesendet, der von einer separaten Firma - Akamai - betrieben wird, die ebenfalls Zugang zu ihnen hat. Zusätzlich zu Apple und Akamai ist Apple seit Oktober 2012 ein Partner des PRISM-Programms des US-Militärgeheimdienstes, der jederzeit und ohne Garantie auf alle diese Daten zugreifen kann. Machen Sie sich keine Illusion darüber: Sie tun es.2019 haben sie dies sogar mehr als 35.000 Mal getan.

Vor dem Big Sur-Update konnte all dies mitLittle Snitch, LuLu oderanderen Firewall-Anwendungen blockiert werden, aber das ist ab MacOS 11.0 nicht mehr möglich, da einige neue APIs verhindern, dass Firewalls diese blockieren. Little Snitch hat vor kurzem eine aktualisierte Version, Little Snitch 5, veröffentlicht, die dieses Problem behebt und auf die Sie kostenlos upgraden können, wenn Sie Little Snitch 4 nach dem 1. November 2019 gekauft haben.

Während dies bereits in früheren Versionen von MacOS-Computern Standard war, ist dies das erste Mal, dass Apple aktiv verhindert, dass diese Anfragen blockiert werden. Abgesehen von den offensichtlichen Datenschutzproblemen eröffnet dies eine Menge neuer Probleme, wie zum Beispiel,dass Appledie Kontrolle darüber hat, welche Anwendungen auf Ihrem Computer gestartet werden dürfen, und dass es autoritären Regimes wie China Türen öffnet, um Apple dazu zu zwingen, zu zensieren, auf welche Anwendungen chinesische Benutzer zugreifen können, wassie in der Vergangenheit bereits im App Store getan hatten. Dies könnte auch Regierungen wie den Vereinigten Staaten neue Türen öffnen, Hintertüren direkt in die Geräte von Apple einzubauen - wofürsie erst dieses Jahr eine Gesetzesvorlage eingebracht haben.

Wie lässt sich dies verhindern?

Gegenwärtig gibt es keine Möglichkeit, dies auf Ihrem Apple-Gerät zu verhindern, da der Dameon, der für diese Anfragen verantwortlich ist (trustd), in der neuen ContentFilterExclusionList enthalten ist, was bedeutet, dass sie alle benutzergesteuerten Firewalls ignorieren. Tatsächlichscheinen alle von Apple entwickelten Anwendungen die meisten VPN- und Firewall-Regeln vollständig zu ignorieren. Nach umfangreichen Untersuchungen und Testslässt der OVPN-Client bei aktiviertem Killswitch keine Daten von nativen Apple-Anwendungendurchsickern. Andere Anwendungen wie Tunnelblick, WireGuard und Viscosity tun dies jedoch.

Da die Suchvorgänge unverschlüsselt in Richtung ocsp.apple.com durchgeführt werden, könnten Sie sie möglicherweise auch direkt auf einer Hardware-Firewall filtern, z.B. auf Ihrem Router.

Zum jetzigen Zeitpunkt würden wir ein Update auf Big Sur wenn möglich nicht empfehlen, da es Möglichkeiten gibt, dies durch Anwendungen wie Little Snitch und LuLu zu verhindern. Es ist auch möglich, es direkt in der Host-Datei auf Ihrem Computer zu blockieren:

  1. Öffnen Sie das Terminal
  2. Schreiben Sie sudonano /private/etc/hosts und drücken Sie Enter
  3. Geben Sie Ihr Kennwort ein. Aus Sicherheitsgründen werden während der Eingabe des Kennworts keine Symbole angezeigt, aber Ihr Passwort wird trotzdem eingegeben.
  4. Nachdem Sie Ihr Kennwort eingegeben und die Eingabetaste gedrückt haben, fügen Sie Folgendes unten in die Datei:
    0.0.0.0.0 ocsp.apple.com
  5. Drücken Sie STRG+X
  6. Drücken Sie Y zum Bestätigen
  7. Starten Sie Ihren Computer neu

Sobald dies geschehen ist, wird es Ihrem Computer nicht mehr möglich sein, etwas an diese Adresse zu senden.

Beachten Sie bitte, dass das Blockieren von ocsp.apple.com zu Problemen mit App-Zertifikaten führen kann, da Apple es zur Authentifizierung von Apps verwendet.

Wir halten Sie auf Big Sur über Neuigkeiten darüber auf dem Laufenden, wie Sie dies verhindern können.

Apples Antwort

Apple hat seitdem auf die Kritik reagiert und genau beschrieben, was die Sicherheitsfunktion Gatekeeper bewirkt.

Gatekeeper führt Online-Prüfungen durch, um zu überprüfen, ob eine Anwendung bekannte Malware enthält und ob das Signaturzertifikat des Entwicklers widerrufen wurde. Wir haben niemals Daten aus diesen Überprüfungen mit Informationen über Apple-Benutzer oder deren Geräte kombiniert. Wir verwenden die Daten aus diesen Überprüfungen nicht, um zu erfahren, was einzelne Benutzer auf ihren Geräten starten oder ausführen. - Apple

Sie geben auch an, dass sie seit der Kritik die Protokollierung der Apple-ID, der IP-Adressen oder der Identität der einzelnen Geräte eingestellt haben, und dass sie auch die Protokollierung von IP-Adressen, die mit den vom Gatekeeper durchgeführten ID-Prüfungen verbunden sind, eingestellt haben und sicherstellen werden, dass alle in der Vergangenheit gesammelten IP-Adressen aus ihren Protokollen entfernt werden.

Sie haben sich auch verpflichtet, im Laufe des nächsten Jahres einige Verbesserungen vorzunehmen, indem sie mehrere Änderungen an ihren Sicherheitsprüfungen einführen:

  • Ein neues verschlüsseltes Protokoll für Entwickler-ID-Zertifikatswiderrufsprüfungen
  • Starker Schutz gegen Server-Ausfall
  • Eine neue Vorliebe für Benutzer, sich von diesen Sicherheitsvorkehrungen abzumelden

Auch wenn es derzeit nicht möglich ist, diese Sicherheitsüberprüfungen abzulehnen, ist es dennoch gut, dass Apple das Problem transparent angeht und daran arbeitet, das Problem zu lösen, indem es den Benutzern die Möglichkeit gibt, sich abzumelden.

Maximilian Holm