Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

macOS Mojave

Quelle: Hadrian / Shutterstock.com

macOS Mojave wurde am Montag, den 24. September unter dem Versprechen auf einen erhöhten Datenschutz veröffentlicht. Insbesondere müssen Apps nun die explizite Erlaubnis des Benutzers einholen, bevor sie an bestimmten Orten auf Daten wie Mails, Kontakte, Kalenderereignisse, Safari-Benutzerdaten oder mehr zugreifen können.

Die Sperrung des Zugriffs z.B. auf Safari-Benutzerdaten hätte das Anfang des Monats aufgetretene Problem verhindert, bei dem Anwendungen aus dem Mac App Store den Browserverlauf der Benutzer erfassten (Malwarebytes berichtete). Unter Mojave wäre die App daran gehindert worden, überhaupt auf diese Daten zuzugreifen – es sei denn, der Benutzer genehmigt Apps wie Dr. Battery den Zugriff auf diese Daten – was unwahrscheinlich erscheint, wenn man bedenkt, dass der Zweck der App nichts mit dem Browserverlauf zu tun hat.

Wo liegt das Problem?

Obwohl die neuen Datenschutzbestimmungen eine positive Intention haben, gibt es bei Entwicklern und Sicherheitsforschern einige Bedenken hinsichtlich der Art und Weise, wie sie umgesetzt wurden. Insbesondere gibt es berechtigte Bedenken bezüglich eines Problems namens "Dialogmüdigkeit". Leute haben es oft satt, bei der Arbeit belästigt zu werden und tun einfach alles, um an einem Warndialog so schnell wie möglich vorbeizuklicken, ohne ihn tatsächlich zu lesen.

Dialogmüdigkeit - ähnlich wie Sicherheitsmüdigkeit - ist real, und nachdem man auf Mojave umgestiegen ist, lässt sich bestätigen, dass sie dazu neigt, viele dieser Dialoge am Anfang anzuzeigen. Man muss den Zugriff auf die Daten für einige meiner Apps genehmigen. Die Chancen stehen gut, dass der durchschnittliche Anwender es satt hat, dies zu tun, und einfach jeden Dialog einzelnen genehmigen wird, ohne darauf zu achten.

Für zusätzliche Verwirrung sorgt, dass in diesen Dialogen lediglich die Schaltflächen "Nicht erlauben" und "OK" angezeigt werden. Obwohl es sicherlich die Implikation gibt, dass OK "erlauben" bedeutet, ist dies nicht explizit angegeben und kann zu Misverständnissen führen.

Es gibt auch Probleme mit Anwendungen, die Hintergrundprozesse verwenden, die nicht die Benutzerfreigabe abfragen, was diese Anwendungen auf interessante Weise unterbrechen kann, z.B. durch Abstürze oder stille Beeinträchtigung der Funktionalität.

Der Datenschutz von Mojave ist bisher bei weitem nicht perfekt, aber es stellt sich heraus, dass Probleme viel tiefer gehen als Probleme mit der Benutzeroberfläche. Zwei Sicherheitsforscher haben unabhängig voneinander, innerhalb von 24 Stunden nach dem Start von Mojave, beunruhigende Ergebnisse bekannt gegeben.

Sicherheitsexperte Patrick Wardle hat am Montag ein Video veröffentlicht, das eine Zero-Day-Schwachstelle zeigt, die es einem bösartigen Programm ermöglichen kann, Zugriff auf geschützte Daten zu erhalten, ohne die Zustimmung des Benutzers einholen zu müssen. Das Video zeigt, wie man eine Anforderung für den Zugriff auf Kontaktdaten im Terminal auslöst und zeigt, dass diese Anforderung abgelehnt wird. Nachfolgende Versuche, vom Terminal aus auf diese Daten zuzugreifen, scheitern einfach.

Das Video zeigt dann die Ausführung einer von Wardle entwickelten Proof-of-Concept-App, genannt breakMojave.app. Diese App löst keine Zugriffsanforderung aus und ist dennoch in der Lage, diese Daten zu lesen und zu kopieren.

Was hat das für eine Bedeutung?

Was das tatsächliche Risiko betrifft, so sind Sie mit Mojave nicht schlechter dran als in jeder älteren Version von macOS, von denen keine diese Art von Datenschutz bietet. Trotz dieser Fehler ist es für eine App immer noch schwieriger, Zugriff auf diese Daten zu erhalten als zuvor.

Diese Änderungen setzen jedoch einen beunruhigenden Trend bei Apple fort. macOS High Sierra begann einen Prozess, der über den Benutzerfreigabeprozess für die Installation von Kernel-Erweiterungen erhebliche Probleme für Entwickler und Benutzer verursachte. Es gibt viele Probleme in diesem Prozess, die sowohl die Benutzerfreundlichkeit als auch Fehler in macOS betreffen. Der Benutzer endet verwirrt und frustriert, und der Entwickler arbeitet am Ende als unbezahlter Apple-Support.

Der Schwall an neuer Genehmigungsdialoge, die durch diese Änderungen an Mojave entstehen, wird ein weiterer Schritt auf diesem Weg sein. Die Auseinandersetzung, die Menschen mit diesen Dialogen erleben, wird dazu führen, dass Entwickler für interessante und innovative Dinge bestraft werden, während viele Benutzer in Warndialogen weiterhin auf "OK" klicken, ohne sie zu lesen.

Der Schutz der Privatsphäre des Benutzers ist ein äußerst nobles Ziel, aber die vielen Probleme und Fehler, die mit dieser speziellen Implementierung verbunden sind, werden wahrscheinlich kurzfristig mehr Probleme verursachen als sie lösen.

Weitere Details dazu und zu weiteren Apps, die Nutzerdaten entwenden, finden Sie sind auf dem offiziellen Blog von Malwarebytes: https://blog.malwarebytes.com/security-world/privacy-security-world/2018/09/holes-found-in-mojaves-privacy-protection/
 

GRID LIST
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

So lassen Sie Phishing-Attacken ins Leere laufen

Sicherheitstipps haben sich in den letzten Jahren kaum verändert. Geräte wurden zwar…
Karsten Glied

Zu unbedarfter Umgang mit der IT-Sicherheit?

Zum jüngsten Hacker-Angriff auf Politiker, Journalisten und bekannten Persönlichkeiten…
Security Concept

Verantwortung für die IT-Security der eigenen Geräte übernehmen

Auf der CES werden wie jedes Jahr eine Vielzahl neuer Geräte vorgestellt. Passend dazu…
Tb W190 H80 Crop Int 5f246ccbf6b1305119a03e5f5f5f3175

CEO & Co. als Zielscheibe von Cyberkriminellen

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des…
Elmar Albinger

Politiker-Hack: Passwort "Schwachstelle Mensch"

Der Hackerangriff auf deutsche Mandatsträger und Prominente hat das politische Berlin in…
Hacker mit Tastatur

Zwischen Spaß und Verbrechen - Cybercrime als gesellschaftliches Phänomen

Er ist 20 Jahre alt, Schüler und wohnt noch bei seinen Eltern. So sieht das Profil des…
Smarte News aus der IT-Welt