"Whose computer is it?"
Arrogante Sonderrechte? Apples Netzwerk-Ausnahmen lassen sich missbrauchen
Wäre die Verteilung der macOS-Aktualisierung auf macOS 11 Big Sur am vergangenen Donnerstag reibungslos über die Bühne gegangen, hätte es wahrscheinlich noch etliche Monate gedauert, ehe Apples Protokollierung eines jeden App-Starts auf dem Mac Gegenstand einer öffentlichen Debatte geworden wäre.
In Big Sur Apple decided to exempt many of its apps from being routed thru the frameworks they now require 3rd-party firewalls to use (LuLu, Little Snitch, etc.) 🧐
Q: Could this be (ab)used by malware to also bypass such firewalls? 🤔
A: Apparently yes, and trivially so 😬😱😭 pic.twitter.com/CCNcnGPFIB
— patrick wardle (@patrickwardle) November 14, 2020
Die großflächigen Server-Ausfälle in der Nacht vom 12. auf den 13. November und das damit einhergehende, unerwartete Verhalten des Apple-Betriebssystems, das zahlreiche MacBooks und Macs Ende vergangenen Woche an den Tag legten, beschleunigte den Diskurs jedoch massiv.
Server-Ausfälle traten Diskussion vom Zaun
Binnen weniger Tage wurden nicht nur Sinn und Unsinn der Apple-Protokollierung diskutiert, hinterfragt und unter die Lupe genommen, Cupertino reagierte sogar selbst und versprach (ungewöhnlich schnell) zukünftig einen Ausschalter für die datenschutzrechtlich bedenkliche Funktion zu liefern, die viele Macs vorübergehend in ein Zustand versetzte, der ein normales Arbeiten am Rechner unmöglich machte.
Apples Patzer sorgte zudem auch dafür, dass sich mehrere Nutzer noch mal mit der Sonderbehandlung beschäftigten, die Apple seinen eigenen Anwendungen in Sachen Netzwerkzugriff unter macOS Big Sur zugesteht.
Wie berichtet nimmt Apple hauseigene Anwendungen hier aus Firewall-Regelungen heraus und bietet Anwendern keinen offiziell sanktionierten Weg an, diesen den Zugriff auf das Internet zu untersagen.
- Arrogante Sonderrechte? Apple lässt sich von keiner Firewall aufhalten
- macOS Big Sur: Vergeigte Auslieferung legte etliche Macs lahm
- Privatsphäre-Patzer: Apple überträgt Protokolle zur App-Nutzung unverschlüsselt
App-Liste und Exploit-Demo veröffentlicht
Über das Wochenende haben Sicherheitsforscher und Entwickler hierzu mehrere wissenswerte System-Interna in Erfahrung gebracht.
- Zum einen ist nun die Liste der Apple-Anwendungen bekannt, denen Apple gesonderte Netzwerkrechte einräumt, die den Internetzugriff jederzeit ermöglichen.
- Zum anderen hat sich herausgestellt, das Schadsoftware diese Sonderrechte ausnutzen kann, um selbst privilegierten Internetzugang auf Rechnern zu erlangen, die eigentlich von einer Firewall geschützt sind.
Was genau ist passiert?
Stark vereinfacht, könnt ihr euch folgendes merken: Um eure Macs vor schadhaften Anwendungen zu schützen, hat sich Apple jeden App-Start auf euren Maschinen melden lassen und diesen protokolliert. Als die dafür vorgesehen Leitung während eines Serverausfalls die Macs ihre Anwender in die Knie brachte, wurde die Funktion erstmals kritisch hinterfragt und genauer unter die Lupe genommen.
Daraufhin stellte sich heraus, dass Apple deutlich mehr Daten als nötig überträgt und seinen Anwendungen Netzwerk-Sonderzugriffsrechte einräumt, die böswillige Akteure recht einfach missbrauchen könnten.
Obwohl Apple in dem hastig formulierten Support-Dokument #HT202491 verspricht, die größten Kritikpunkte im Laufe des nächsten Jahres zu adressieren, fragen sich viele Mac-Anwender derzeit, ob die Rechner mit dem Apfel-Logo nach dem Kauf eigentlich ihnen oder weiterhin Apple gehören: Whose computer is it?
Was soll man sagen. Das Unternehmen ist leider nicht mehr das was es mal sein wollte. Schade. Muss jeder selber wissen wie weit er den Weg noch mitgeht.
Mich stimmen diese Nachrichten alle nachdenklich. Mal sehen ob ich da weitere Produkte kaufe.
Ich kann nur zustimmen. Mein Vertrauen in das neue OS ist seit dieser Erkenntnis schwer gestört!
Ich kann mich dem nur anschließen. Ich muss auch sagen, dass ich schwer enttäuscht bin. Sicherlich ist Apple noch das „kleinste Übel“, aber für mich hat das einen enormen Beigeschmack. Zu „Whose computer is it?“ kann ich mich immer nur wiederholen, dass zum Beispiel bei obsoleten Geräten der Gesetzgeber eine Vorgaben muss, dass die Hersteller diese Geräte zu „öffnen“ haben. Ich habe schon iPhones, auf denen sich nichts installieren lässt etc. Die Geräte wurden künstlich entwertet und das ärgert mich schon, weil man viele tolle Hobbyprojekte damit umsetzen könnte. Gut, geht an dem jetzigen Thema direkt vorbei aber greift eben diese „Blockaden“, die eigentlich Schutz sein sollen auf.
Welche Gemeinsamkeit hat Donald Trump und das Sicherheitsversprechen von Apple? Auch wenn man luftige Aussagen auf große Plakate schreibt macht’s den eigenen Dreck nicht besser.
Damit ist eigentlich alles gesagt! Volle Zustimmung!
Bin gerade am überlegen ob El Capitan einen enormen Geschwindigkeitschub auf meinem iMac bringen würde.
Mein Vertrauen in Apple ist mittlerweile mit jedem neuen Betriebssystem (iOS/MacOS), synchron mit der Anzahl an Sicherheit-Patches und -Updates im direkten Anschluss an die finale Freigabe gesunken.
Ich nutze Apple Rechner jetzt seit weit über 20 Jahren und trotzdem überlege ich wohin die Reise geht.
Jupp, bei mir das gleiche.
Das geht in Richtungen, die mir als IT-affinen Menschen (in der regel weiß ich, was ich tue) gehörig gegen den Strich gehen.
Big Sur kommt mir aktuell keinesfalls auf die Platte, ich leide hier noch massiv an dem Mist, den sie mit Catalina verbrochen haben. Meiner Meinung nach ist Mojave aktuell das System, mit dem man noch am Vernünftigsten arbeiten kann, da es diversen ‚Pseudo-Sicherheits-Schwachsinn‘ gar nicht erst mitbringt und erstaunlicher Weise und fehlerfreier besser funktioniert als die Nachfolger…
Ich hab hier zwangsweise auf meinen iMac Catalina laufen (ist ein 2020-Modell und ich kann ihn nicht downgraden). Was ich da in kürzester Zeit an Bugs im Bezug auf meine bisher gewohnte Arbeitsumgebung gefunden habe, geht auf keine Kuhhaut. Und das in nem System, das ein Jahr alt ist und 7 Major-Patches hinter sich gebracht hat. Ich habe keinen Grund zur Annahme, dass das mit Big Sur besser werden sollte.
100% ACK
Und du denkst Windows 10 ist besser? Dann lauf mal durch die Entwicklungsabteilung eines Rüstungskonzerns. Windows 7. warum? Weil auch 5 Jahre nach Veröffentlichung noch zu viel nachhause telefoniert wird…
whatsaboutism in Reinkultur
Was hat das denn mit Microsoft Windows zu tun?
Sagen braucht man da gar nichts.
Einfach bei der Datenschutzbehörde eine Mitteilung hinterlassen..
Wer als Hersteller so laut darum bettelt verklagt zu werden sollte doch bekommen was er will.
Als einfacher Nutzer installiert man eben Big Sur einfach nicht.
Schlechte Downloadzahlen sind auch eine Strafe.
Danke, iFun-Team, dass ihr das Thema hier aufgreift.
Ich finde das enorm wichtig. Nur wenn solche Praktiken öffentlich werden, lenkt Apple gegebenenfalls ein.
Gut das die Sicherheit unserer Daten Apple so am Herzen liegt…
„We love our customers …“ – so sehr, dass wir sie „stalken“.
Hm, verstehe das nicht so richtig. Wenn ich in meinem Netzwerk eine Firewall installiert habe und diese dann auch für DNS und Routing zuständig ist, wie kann dann eine Anwendung daran vorbei direkt ins Internet gehen. Woher kennt die Anwendung den richtigen Gateway nach draußen? Oder geht es hier „nur“ um lokal installierte Firewalls?
Es geht nur um Software Firewalls wie zB Little Snitch
Du blockst ja nur auf DNS Ebene. Wenn Schadsoftware oder eben Apple Software versucht nach außen zu kommunizieren kann die Software einfach eine feste IP zur Kommunikation verwenden. Es ist dann keine Namensauflösung mehr notwendig. Das blocken von Konkreten IPs wäre dann noch möglich indem du statische ipv4 Routen am mac oder Netzwerkprotokolle einpflegst. Recht viel Arbeit: Man muss es sagen wie es ist: 1984 lässt grüßen. Sorry, Apple kann meine App Starts protokollieren und ich kann nichts dagegen tun? Leckere Sache.
Wo sind denn jetzt eigentlich alle die, die im zugehörigen Post (LittleSnitch) noch so verständnisvoll waren, dass Apple eigenen Netzwerkverkehr an Firewalls etc. vorbeischleust und das teils sogar gut fanden?
Meine Aussage „ist eher ein Sicherheitsloch als ein Feature“ ist ja dann noch schneller wahr geworden als ich mir das hätte vorstellen können.
Ich hoffe, sie rudern hier jetzt ganz schnell zurück, ermöglichen den Einsatz solcher Tools jetzt wieder und hören auf, ihren eigenen Traffic privilegiert zu behandeln…
Ist ja schon in dem älteren News-Beitrag erklärt worden, dass der Zweck der Aktion ist, sicherzustellen dass die zu öffnende App ein aktuelles Zertifikat hat. Dazu aber bräuchte es z.B. die IP-Adresse nicht. Vor allem aber frage ich mich, warum Apple das auf seinen Servern protokolliert.
Ich bin weit davon entfernt hier Absicht zu unterstellen. Aber tatsächlich unterlaufen Apple hier mal wieder Anfängerfehler, die mich irritieren.
Ehrlich? Blind, wer hier ein Versehen annimmt.
Tja das liegt an Tim … der nicht dieses vergeigt hat sondern auch iOS 14. … da laufen die iMessenger nicht !!!
Solange der Dummkopf das Ruder I
in der Hand hat wird sich das nicht ändern. Da werden blind Dinge gemacht wo man Sicherheit vorgaukelt welche aber nicht ist! Der Kunde seit TIm da ist als Versuchslabor dient …. also ich habe noch Mojave und Catalina…
Und ich mache erst ein Update nach 6 Monaten…. wenn alles läuft……
Das Apple macht was sie wollen, ist glaubig allen klar. Wenn einem das nicht gefällt kann man auf alle Mac Rechner Linux installieren
Vielleicht wachen nun auch die, die besonders tief geschlafen auf. iCloud Photo wird gescannt, Macs werden überwacht, Siri schnüffelt herum. Dieses Unternehmen hat längst alle Grenzen übertreten. Es macht das ganze auch nicht besser, wenn Apple die Daten nur für eigene Services schnorchelt, und nicht auch noch wie Google diese Verkauft. Für mich dennoch indiskutabel und absolutes NoGo.
Ganz so einfach ist die Sache nicht. Man sollte schon auch erklären, warum das so ist wie es ist. Das Programm prüft beim Start das Zertifikat. Das ist ein Sicherheitsfeature. Schadsoftware wäre in der Lage genau das zu verhindern, wenn für diese Zertifikatsanfrage nicht die besagten „Sonderrechte“ eingeräumt werden. Ob Schadsoftware selbst diese Rechte erlangen kann ist eher hypothetisch, allerdings wird das in macOS 11 weiter eingeschränkt.
Einziger Kritikpunkt ist meiner Meinung nach dass dabei die IP bei Apple gespeichert wurde – das wird jetzt nicht mehr gemacht.
Allerdings sollte Apple hier ein Opt-Out schnellstmöglich anbieten – wobei ich da aber von der Nutzung abraten würde, wenn man keinen zusätzlichen Schutz verwendet.
Das ist die Idee dahinter – sie kann nur in meinen Augen nicht funktionieren und ich halte sie auch für „braindead by default“, da sie fatale Abhängigkeiten enthält.
Zumal in der gegenwärtigen Konstellation jede Schadsoftware diesen „Schutzmechanismus“ nutzen könnte, indem sie ihren eigenen Traffic verbirgt. Wie es funktioniert, ist bei Patrick Wardle nachzulesen.
Das muss anders funktionieren – von mir aus, indem die Sperrlisten lokal gehalten werden.
Aber uns Anwendern die Kontrolle über den Rechner zu entziehen (bzw. das was er tut und mit wem er redet), geht schlicht gar nicht. Dann sollen sie das Feature von mir aus bauen, den Anwendern dann aber eine Möglichkeit geben, das zentral abzuschalten, ich betätige gern einen „Ich weiß was ich tue und heule nicht Apple voll, wenn was passiert“-Button. Ich kann selber recht gut beurteilen, inwieweit ich auf solche Dinge angewiesen bin oder nicht.
Und, unter gar keinen Umständen darf sowas dazu führen, dass Rechner plötzlich nicht mehr nutzbar sind, nur weil bei Apple ein Server zickt.
Doch, es ist so einfach. Denn mit Verlaub, die Art, wie das umgesetzt ist, ist einfach „braindead by default“ und kein Sicherheitsfeature.
a) von Online-Verbindungen abhängig
b) offensichtlich fehleranfällig, siehe Serverausfälle letzter Woche
c) offensichtlich noch fehleranfälliger, siehe die Berichte von wegen „Apple widerruft aus Versehen ein Entwickler-Zertifikat“ – und schwupps läuft das völlig harmlose Programm nicht mehr
d) offensichtlich noch, noch anfälliger, denn wie oft hat es „böse“ Software schon zu einer notarisierung oder gar in den Appstore gebracht, ohne dass Apple das aufgefallen wäre?
e) es schafft Abhängigkeiten: wenn Apple was nicht passt, ziehen sie dem Entwickler/dem Programm den Stecker. Das Missbrauchspotential ist geradezu unermesslich und geht in Richtung potentieller Diktatur
f) die Traffic-Verschleierung ist ein Sicherheitsloch, kein Feature. Wie das von Schadsoftware ausgenutzt werden kann, ist bei Patrick Wardle nachzulesen.
Ich lehne das ganze Signatur-Gedöns primär deshalb ab, weil ich kein System will, bei dem ein Hersteller bestimmen kann, welche Software darauf läuft und welche nicht. Und genau dafür ist die derzeitige Implementierung die Basis. Ihr glaubt doch nicht im ernst, dass Apple das nicht irgendwann für sowas nutzen wird und das natürlich nur zu unserem Schutz gebaut wurde. Muahahahaha!!!
Hmpf. Quasi ein doppel-post, weil ich dachte, der erste Versuch wäre „gefressen“ worden. Sorry!…
Zu dieser Diktatur braucht es dann keinen Lukaschenko, keinen Kim Jong-un und auch keinen Xi Jinping mehr.
Diese Diktatur ist dann:
„Designed by Apple in California.“
Aber nicht zu vergessen: Made in China ;-)
Weiß hier jmd, wie man das Cisco IPSec – VPN zur Fritzbox wieder zum Laufen bekommt?
Sehr gute Frage! Schließe mich an.
Bei mir geht es noch. Keine Änderungen.
Mac und iOS
Okay, interessant! Bei mir laufen die VPN’s nur noch auf iOS14 und nicht mehr auf BigSur.
Es droht durch NOYB auch anderwärts Ungemach..
https://noyb.eu/de/noyb-reicht-beschwerden-gegen-apples-tracking-code-idfa-ein
Ich muss leider ein wenig off-topic werden (hoffe, das Team nimmt mir das nicht allzu übel): Seitdem Update auf Big Sur zeigt mir MenuMeters permanent eine Temperatur über 40 Grad an. Mit der letzten Catalina Version lag ich meistens so bei 30/35. Die Programme, die ich verwende sind, Pages, Vorschau und Safari. Weiß jemand, woran das liegen könnte? Ich vermute, dieses „Indexing“ müsste doch schon längst abgeschlossen sein? Ach, mein Modell: Macbook Pro, 2015, 13 (Retina). Danke, falls mir jemand helfen kann!
Aktivitätsmontitor mal kontrolliert ob irgendwas einen erhöhten CPU load hat?
Alles im normalen Bereich. Keine auffälligen Prozesse. Vor allem scheint mein MB irgendwelche Prozesse zu durchlaufen, wenn es auf Standby ist. Bereue es jetzt schon, das Update aufgespielt zu haben :///
Sehr hilfreicher Artikel, vielen Dank! Habe ihn in meine „Dark Patterns“-Sammlung aufgenommen – Apple kommt da immer häufiger vor ;)
…sehe gerade, dass „Dark Patterns“ nur das UI betreffen. Wieder etwas gelernt… – danke!
Gier wurden anscheinend alle Befürchtungen bestätigt.. sehr gut gemacht, Apple. Ich verstehe diese Entscheidung von Apple einfach nicht..
BigData lässt grüßen. So weiß Apple halt genau welche Apps in welchem Haushalt geöffnet werden und demnächst beworben werden sollten. WTF. Und dann mit Privacy werben.
Mac und Chromebook sind wohl Zwillinge…
:-)
Schade das wir Europäer so Tech-Loser sind.
Wann genau war Dein Unfall?