Wardle spricht davon, dass 50 neue Malware-Familien im vergangenen Jahr entdeckt werden konnten. Als Ursache vermutet er den leichten Anstieg des Marktanteils von OS X. In den USA hält das System nunmehr bei 14 Prozent, weltweit wies Net Application vergangenen Dezember 7,2 Prozent aus.
Aktuell sei es einfach, auf Apples Rechnern Schadsoftware einzuschleusen, zumal dessen integrierte Schutzfunktionen längst nicht perfekt seien. "Gatekeeper" etwa überprüfe nur, ob eine App aus dem Store stammt, aber nicht, ob die gefährlichen Code enthält. "XProtect" wiederum nutzt den Hash-Wert zum Abgleich und sei bereits durch das Umbenennen der Schadsoftware überlistet.
Die Sandbox, die Programme eigentlich in einer vom restlichen System abgeschotteten Umgebung laufen lassen sollte, ist zwar eine sinnvolle Erfindung. Diverse Fehler, die unter anderem von Google aufgedeckt wurden, ermöglichen aber den "Ausbruch" einer App. Auch Programme, deren Signatur nicht gültig ist, würden trotz Prüfung gestartet. Der vorgeschriebene Signatur-Check für Kernel-Erweiterungen lässt sich mit dem Beenden des dafür zuständigen Kext-Daemons überspringen. Die dafür notwendigen Root-Rechte lassen sich wiederum über die Verwendung der "Rootpipe"-Lücke erlangen, die trotz Patch offenbar noch immer genutzt werden kann.
Auch die von ihm getesteten, bekannteren Antivirenlösungen machten keine gute Figur. Eine von Wardle selbst erstellte Malware konnte sich permanent im System einnisten und Informationen nach außen verschicken. Trotzdem schlug von über zehn Programmen kein einziges Alarm. Problematisch ist, dass es zahlreiche Wege gibt, um das System auf Dauer zu infizieren und einige Malware-Abkömmlinge zudem über gültige Entwicklerzertifikate verfügen.
Mit zwei von Wardle geschriebenen, kostenlosen Tools (https://objective-see.com/products.html) lässt sich ein Teil der Gefahren zumindest vermeiden. "Knock Knock" übermittelt die Hashwerte automatisch gestarteter Dateien an die Plattform Virustotal, die sie mit den aktuellen Datenbanken diverser Antivirenhersteller abgleicht. "Block Block" überwacht, ob ein Programm sich an einer verdächtigen Stelle einnisten will informiert gegebenenfalls den User. Doch auch diese Helfer lassen sich potenziell aushebeln.
Aktuell sei es einfach, auf Apples Rechnern Schadsoftware einzuschleusen, zumal dessen integrierte Schutzfunktionen längst nicht perfekt seien. "Gatekeeper" etwa überprüfe nur, ob eine App aus dem Store stammt, aber nicht, ob die gefährlichen Code enthält. "XProtect" wiederum nutzt den Hash-Wert zum Abgleich und sei bereits durch das Umbenennen der Schadsoftware überlistet.
Die Sandbox, die Programme eigentlich in einer vom restlichen System abgeschotteten Umgebung laufen lassen sollte, ist zwar eine sinnvolle Erfindung. Diverse Fehler, die unter anderem von Google aufgedeckt wurden, ermöglichen aber den "Ausbruch" einer App. Auch Programme, deren Signatur nicht gültig ist, würden trotz Prüfung gestartet. Der vorgeschriebene Signatur-Check für Kernel-Erweiterungen lässt sich mit dem Beenden des dafür zuständigen Kext-Daemons überspringen. Die dafür notwendigen Root-Rechte lassen sich wiederum über die Verwendung der "Rootpipe"-Lücke erlangen, die trotz Patch offenbar noch immer genutzt werden kann.
Auch die von ihm getesteten, bekannteren Antivirenlösungen machten keine gute Figur. Eine von Wardle selbst erstellte Malware konnte sich permanent im System einnisten und Informationen nach außen verschicken. Trotzdem schlug von über zehn Programmen kein einziges Alarm. Problematisch ist, dass es zahlreiche Wege gibt, um das System auf Dauer zu infizieren und einige Malware-Abkömmlinge zudem über gültige Entwicklerzertifikate verfügen.
Mit zwei von Wardle geschriebenen, kostenlosen Tools (https://objective-see.com/products.html) lässt sich ein Teil der Gefahren zumindest vermeiden. "Knock Knock" übermittelt die Hashwerte automatisch gestarteter Dateien an die Plattform Virustotal, die sie mit den aktuellen Datenbanken diverser Antivirenhersteller abgleicht. "Block Block" überwacht, ob ein Programm sich an einer verdächtigen Stelle einnisten will informiert gegebenenfalls den User. Doch auch diese Helfer lassen sich potenziell aushebeln.
