Der bekannte Sicherheitsforscher Patrick Wardle hat ein neues Angriffsszenario ausgemacht, das Angriffe über den Browser unter macOS ermöglichen könnte – auch auf Systemen, die alle Updates von Apple bekommen haben. Der Angriff missbraucht URL-Schemata, über die sich aus Safari und anderen Web-Browsern heraus Anwendungen auf dem System öffnen lassen. Wardle hat daraus eine zweistufige Attacke auf macOS entwickelt.

Zunächst nutzt Wardle die Tatsache aus, dass der Apples Browser Safari ZIP-Archive automatisch auspackt, wenn diese aus dem Web heruntergeladen werden – was sich auf Webseiten auch mittels JavaScript anstoßen lässt. Nach dem Entpacken, standardmäßig geschieht dies bei Safari automatisch, werden eventuell enthaltene Apps in die Liste der macOS-URL-Schemata aufgenommen.

Mehrere Nachfragen, die manipulierbar sind

In einem zweiten Schritt ruft die Website des Angreifers dann das soeben registrierte neue URL-Schema auf. Safari fragt hier zwar nach ("Wollen Sie die Seite mit App "XYZ" öffnen?"), doch der Inhalt dieser Nachfrage ist mittels JavaScript anpassbar. Auf diesem Wege lässt sich der App-Name so manipulieren, dass ein nichtsahnender Nutzer unter Umständen der Webseite und der App vertraut und auf "Erlauben" klickt.

Anschließend taucht noch eine zweite Nachfrage – diesmal vom System selbst – auf, ob die Anwendung wirklich gestartet werden soll. Dabei kommt Apples Systemsicherheitsroutine GateKeeper zum Einsatz. Laut Wardle ist aber auch hier der App-Name manipulierbar, so dass auch hier der Nutzer mittels Social Engineering überlistet werden kann. Der Angreifer könnte zum Beispiel als App-Namen den macOS-Dateimanager Finder eintragen. Klickt der Nutzer auf "Öffnen", kann die böswillige App aus dem ZIP-Archiv schließlich tätig werden.

URL-Schemata erst später in die Datenbank – oder ganz abdrehen

Wardle sieht für das Problem mehrere Lösungen. So wünscht er sich, dass Apple mittels Safari entpackte Programme nicht gleich in die Datenbank der ansprechbaren URL-Schemata aufnehmen würde. Zudem stellt sich die Frage, ob Safari Anwendungen wirklich stets automatisch nach dem Download entpacken sollte. Letzteres lässt sich durch den User jedoch abstellen: In den Safari-Einstellungen auf der ersten Seite, wo man das Öffnen "sicherer" Dateien nach dem Download auch abschalten kann. (bsc)