Gatekeeper in macOS Sierra: Apple erhöht Sicherheit

Martin Wendel · 16.06.16

Mit dem im Herbst erscheinenden macOS Sierra wird Apple zwei Änderungen in Gatekeeper einführen – eine sichtbare und eine für Nutzer unsichtbare. Mit Gatekeeper kann in den OS-X-Systemeinstellungen definiert werden, ob nur Programme aus dem Mac App Store, auch Programme von verifizierten Entwicklern oder generell alle Programme ausgeführt werden können. In macOS Sierra bietet Apple nur noch zwei Einstellungen – Mac App Store oder Mac App Store sowie verifizierte Entwickler.

Dies bedeutet jedoch nicht, dass sich nicht zertifizierte Apps unter macOS Sierra gar nicht mehr ausführen lassen werden. Bereits jetzt war es möglich, in der mittleren Sicherheitsstufe – Mac App Store sowie verifizierte Entwickler – nicht zertifizierte Programme zu starten. Dies musste aber beim ersten Start einer solchen App jeweils separat bestätigt werden. Dazu muss die App mit einem Rechtsklick und "Öffnen" ausgeführt werden. Unter macOS Sierra wird dies zwingend bei nicht zertifizierten Programmen notwendig sein.

Die zweite Änderung betrifft den Speicherort für Programme von nicht verifizierten Entwicklern. Diese werden zwar ganz normal im Programme-Ordner angezeigt, tatsächlich werden sie jedoch an einem zufälligen Ort auf der Festplatte abgespeichert. Dies soll verhindern, dass bösartige Programme sich über eine signierte Binary-Datei in OS X einschleusen. Im vergangenen Jahr wurde eine Gatekeeper-Schwachstelle bekannt, die sich diesen "Designmangel" zu nutze macht. Mit macOS Sierra schiebt Apple dem endgültig einen Riegel vor.

Via 9to5Mac

zurück zum Magazin...

KALLT · 16.06.16

Gatekeeper kann über spctl noch ausgeschaltet werden.

Waldbär · 16.06.16

Martin Wendel schrieb:
...
Die zweite Änderung betrifft den Speicherort für Programme von nicht verifizierten Entwicklern. Diese werden zwar ganz normal im Programme-Ordner angezeigt, tatsächlich werden sie jedoch an einem zufälligen Ort auf der Festplatte abgespeichert. Dies soll verhindern, dass bösartige Programme sich über eine signierte Binary-Datei in OS X einschleusen. Im vergangenen Jahr wurde eine Gatekeeper-Schwachstelle bekannt, die sich diesen "Designmangel" zu nutze macht. Mit macOS Sierra schiebt Apple dem endgültig einen Riegel vor.

Wenn sie eine "signierte Binary-Datei" haben - tun sie dann nicht so als seien sie von verifizierten Entwicklern, der Speicherort wäre also egal? Und wieso spielt der Speicherort überhaupt so eine entscheidende Rolle? Danke im Voraus für eine weitere Erläuterung!

KALLT · 16.06.16

Waldbär schrieb:
Wenn sie eine "signierte Binary-Datei" haben - tun sie dann nicht so als seien sie von verifizierten Entwicklern, der Speicherort wäre also egal? Und wieso spielt der Speicherort überhaupt so eine entscheidende Rolle? Danke im Voraus für eine weitere Erläuterung!

Das Problem war (bzw. ist), dass Programme auf externe Dateien im selben Verzeichnis zurückgreifen können. Statt alles in einer .app zu bündeln, hat man zum Beispiel zusätzliche externe Librarys oder Dateien die ausführen Code beinhalten (auch HTML-Dateien). Das kommt zwar nicht mehr so oft vor, aber es wird noch gemacht. Ein Angreifer könnte nun diese Dateien austauschen und sie einem legitimen Programm hinzufügen, danach beide zusammen vertreiben. Das Programm, einmal von Gatekeeper erlaubt, kann dann diese Dateien problemlos laden und eine darin vorhandene Lücke kann ausgenutzt werden.

Apple verlangt nun, dass Entwickler entweder: signierte Installer-Pakete (.pkg) oder signierte Disk-Images benutzen, damit ein Entwickler das nun verhindern kann. Apps die aber nur als .app vertrieben werden, ob signiert oder nicht, werden nun von einem zufälligen Ort aus ausgeführt, sodass sie nicht mehr auf diese externen Dateien zugreifen können, falls vorhanden. Dieser Mechanismus wird automatisch ausgeschaltet, wenn der Benutzer das Programm ohne diese Dateien verschiebt.

echo.park · 16.06.16

Interessant. Und ist das nun als besonders clever seitens Apple einzustufen?

KALLT · 16.06.16

echo.park schrieb:
Interessant. Und ist das nun als besonders clever seitens Apple einzustufen?

Ich vermute, dass man einfach konsequent sein wollte. Das Problem war bisher rein theoretisch. Ich persönlich konnte auch ganz gut mit der Kenntnis leben, dass Gatekeeper eben kein Garant für sichere Programme ist. Es soll ja nur überprüfen ob direkt ausführbare Dateien signiert sind. Was ein Programm danach macht, darauf hat Gatekeeper ohnehin keinen Einfluss. Ich wusste aber auch nicht, dass man Disk-Images gar nicht signieren kann, das finde ich also ohnehin eine gute Änderung.

Greenie77 · 16.06.16

Chanceln oder zulassen? PC was ist das für ein Typ mit Sonnebrille? Diesen Typen haben sie mit Vista eingeführt, nun muss ich jedesmal an ihn vorbei. Das macht mich so nervig und träge. Ich gehe mal stark davon aus dass diese Abfrage 1x beim ersten mal stattfindet nach dem starten so einer App. Wäre das jedesmals so hätten wir nämlich 1:1 obriges Phänomen als dejavous was extrem nervig ist und schon etwas bevormundend! Außerdem bin ich ja nicht auf den Kopf gefallen, ich kann schon gut alleine entscheiden was ich ausführen will oder nicht. Ein Mac ist schon etwas anderes als ein iDeviece.

Waldbär · 17.06.16

@KALLT : Danke für die Ausführungen, das ergibt doch Sinn so!

verpeiler · 17.06.16

Meint ihr nicht, daß das Ganze an der Beta liegt? Kann mir vorstellen, daß es in der finalen Version dann doch wieder die Option "ohne Einschränkungen" gibt.

KALLT · 17.06.16

verpeiler schrieb:
Meint ihr nicht, daß das Ganze an der Beta liegt? Kann mir vorstellen, daß es in der finalen Version dann doch wieder die Option "ohne Einschränkungen" gibt.

Apple hat das während einer Entwicklersitzung bestätigt. Dazu wurde aber auch ausdrücklich gesagt, dass sich das nicht auf die Kommandozeile oder Netzwerkverwaltung bezieht. Es fehlt lediglich die GUI-Option in den Systemeinstellungen. Außerdem kann man trotzdem Gatekeeper in Einzelfällen zur Seite schieben, das konnte man schon immer, sogar wenn man nur Programme aus dem Mac App Store erlaubt.

Gatekeeper ist für den Benutzer ohnehin kein großes Hindernis. Das lässt sich sogar sehr leicht umgehen.

Fresh_Prince · 17.06.16

Es wird ja weiterhin den Button geben, dass man dieses eine Programm dann doch erlauben kann für die Installation.

hpsg · 18.06.16

Ich wünscht die Versionen würden sich nicht jedes Jahr ändern... Früher war es etwas einfacher meinen Rechner zu pflegen

. Bin nach wie vor auf 10.9, weil ich keine Zeit habe Logic mit allen Plugins zu testen.... Frag mich sowieso wie sich das neue OS auf einem MacPro von 2010 verhält. Wie ist ist es denn mit der aktuellen Version? Lohnt sich der Umstieg mit Logic etc?

Bountyhunter · 19.06.16

@hpsg es ist doch wichtig dass man ein OS-System an Neues anpasst; vor allem wenn man Fehler oder Probleme feststellt. Statt ständiger Updates ist halt ab und an eine neue Version sinnvoller.

Suche

Suche

Gatekeeper in macOS Sierra: Apple erhöht Sicherheit

Martin Wendel

Redakteur & Moderator

KALLT

deaktivierter Benutzer

Waldbär

Ontario

KALLT

deaktivierter Benutzer

echo.park

deaktivierter Benutzer

KALLT

deaktivierter Benutzer

Greenie77

Gelbe Schleswiger Reinette

Waldbär

Ontario

verpeiler

Uelzener Rambour

KALLT

deaktivierter Benutzer

Fresh_Prince

Kantil Sinap

hpsg

Westfälische Tiefblüte

Bountyhunter

Linsenhofener Sämling

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)