Kurz vor der Catalina-Freigabe
App-Beurkundung: Apple lockert die Voraussetzungen nun doch
Mit der Freigabe von macOS Mojave hat Apple die sogenannte Gatekeeper-Funktion überarbeitet. Eine Betriebssystem-Funktion, die dafür sorgen soll, dass keine Malware-Anwendungen auf eurem Rechner installiert bzw. ausgeführt werden können.
Die grundlegenden Gatekeeper-Vorgaben finden sich wie gehabt im Bereich „Sicherheit“ der Systemeinstellungen.
Hier könnt ihr festlegen, ob auf eurem System nur Apps aus dem Mac App Store oder auch Anwendungen von verifizierten Entwicklern installiert werden dürfen. Mit Blick auf den letztgenannten Punkt führte Apple im vergangenen Jahr einen zusätzlichen Sicherheitsmechanismus ein. Die sogenannte App-Beurkundung.
Beurkundung seit April verpflichtend
Anfangs noch freiwillig, konnten Entwickler ihre Anwendungen auf Wunsch von Apple „beurkunden“ lassen können.
Hierbei handelt es sich um ein zusätzliches, über die Prüfung der Signatur hinausgehendes Sicherheitsmerkmal. Um sich von Apple beurkunden zu lassen, müssen auch Entwickler, die nicht im Mac App Store aktiv sind, ihre Anwendungen bei Apple einreichen. Der Vorteil: Anwender können die Apps anschließend ohne umständliche Umwege starten.
Der Entwickler gibt im Rahmen der Überprüfung an, welche Funktionen die Anwendung erfüllt und auf welche Dienste sie zugreifen muss. Einmal überprüft, wird das Paket mit diesen Rechten geschnürt und lässt sich nicht mehr verändern, ohne den Status „beurkundet“ zu verlieren.
Mit der Ausgabe von macOS 10.14.5 hat Apple diese Vorgaben im April jedoch überarbeitet. Seitdem müssen alle neuen Apps, die von ihren Entwicklern signiert wurden, auch den Beurkundungs-Prozess absolvieren.
Kurz vor Catalina ganz entspannt
Die Voraussetzungen für den Beurkundungs-Prozess wurden von Apple nun deutlich entspannt. Offenbar hat Apple den Mehraufwand für Entwickler falsch eingeschätzt und will betroffenen Programmierern nun dabei helfen ihre Apps noch vor dem Marktstart von macOS Catalina für das neue System zu optimieren.
So gestattet Apple die App-Beurkundung bis Januar 2020 auch dann, wenn:
- Entwickler noch nicht die Hardened Runtime-Funktion nutzen.
- die App Komponenten enthält, die nicht mit der Entwickler-ID signiert sind.
- die App keinen sicheren Zeitstempel mit der Codesignatursignatur des Entwicklers enthält.
- die App mit einem älteren SDK erstellt wurde.
- die App die Sonderberechtigung com.apple.security.get-task-allow mit dem Wert „true“ nutzt.
Ich bin mittlerweile echt kein Freund mehr von Gatekeeper. Früher konnte man ja wählen zwischen:
-nur AppStore
-AppStore + verifizierte Entwickler
-aus allen Quellen
Früher konnte man dann einfach schnell in den Einstellungen umschalten, wenn man mal etwas ohne Zertifikat installieren wollte.
Mittlerweile muss man aber den Weg über das Terminal gehen um Gatekeeper zu überreden nicht verifizierte Software zu akzeptieren.
Das macht doch kein 0815 User!
Ich meine ich weiß das und kann es dann halt umgehen, wenn ich muss….für die breite Mehrheit der Mac User ist es aber einfach nicht mehr möglich Software am AppStore vorbei zu nutzen, weil die Installation einfach mit einer Sicherheitswarnung abgebrochen wird. Auf das vorübergehende abschalten von Gatekeeper wird man ja garnicht hingewiesen.
Wir bewegen uns also auch unter MacOS immer mehr richtung iOS.
Rechtsklick auf die App, „Öffnen“ wählen und Shift-Taste gedrückt halten. Dann kommt der Warn-Dialog, enthält aber einen zusätzlichen Button, die App trotzdem zu öffnen
Was Markus sagt, und das war schon immer so einfach möglich :)
Richtig. Und wenn der Entwickler bei Apple registriert und die App notarisiert ist, dann braucht’s auch kein Rechtsklick.
Das ist für Open-Source natürlich blöd, weil die Entwickler zusätzlich zum Zeitaufwand nicht auch noch $99 an Apple zahlen wollen. Und dann braucht’s den Rechtsklicktrick.
Kein 0815-User installiert sich Software für die er den Weg über das Terminal benötigt.
Das ist die Krux an Deiner Annahme.
Wesentlich interessanter an der ganzen Sache ist wie viel sicherer denn dann nun so ein Mac-System sein soll wenn Nutzer schon immer weitere, engere (und dann doch umgehbare) Einschränkungen hin nehmen sollen.
Davon hat man interessanterweise noch kein Wort von Apple gehört.
Ansonsten könnte man bei dem ganzen Zirkus ja schon fast meinen es ist eigentlich nur ein Eierabschrecker um dem glorreichen App Store mit noch mehr Kunden zwangszubeatmen. Damit sich vielleicht wg. solchen Ankündigungen ja keiner mehr traut Software zu holen die von freien Entwicklern stammt.
(Wie nutzbringend der ganze Aufwand ist zeigt ja gerade wieder die „Anfälligkeit“ der letzten drei iOS-Ausgaben, der Besuch einer einzigen bestimmten Webseite reicht aus um das iPhone vollkommen an den Angreifer auszuliefern) (Nicht mich fragen, selbstständig an den richtigen Stellen im Netz lesen)
Ich habe weißgott nichts gegen Sicherheit im Rahmen. Vor allem wenn sie auch etwas nutzt und nicht von jedem Blödmann der offensichtlich schlauer wie Apple ist in derart langen Zeiträumen zu eigenen Zwecken genutzt werden kann und das dies noch nicht mal auffällt.
Da die Funktionsweise der „Sicherheit“ beim Mac nur unwesentlich anders funktioniertt, muss sich Apple schon mal ein paar unbequeme Fragen in dieser Richtung gefallen lassen.