System Integrity Protections Impact on OS X Security under OS X El Capitan based on Previous Attacks

Bachelor Studiengang IT Security

Matteo Tomaselli, BSc (Jg. 2013/2016)

Betreuer: Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage

Über die letzten Jahre hinweg zeichnete sich ein starkes Wachstum an OS X-BenutzerInnen ab. Durch die zunehmende Verbreitung des Apple-Betriebssystems wird dieses ein immer attraktiveres Ziel für Malware-EntwicklerInnen. Apples Marketingabteilung behauptete lange Zeit, dass ihre Computer von Virenangriffen nicht betroffen wären, was dazu führte, dass OS X-BenutzerInnen einen falschen Sinn für Sicherheit entwickelten. Aus diesem Grund ist es wichtig, dass BenutzerInnen sowie SicherheitsforscherInnen sich über den aktuellen Zustand der Sicherheitsfeatures, welche vor diversen Bedrohungen beschützen sollen, im Klaren sind. Da jedes moderne Betriebssystem eine hohe Komplexität aufweist und aus einigen Millionen Zeilen Code besteht, ist davon auszugehen, dass sich auch in den Tiefen von OS X die eine oder andere Schwachstelle verbirgt. Um die Möglichkeiten einer Angreiferin bzw. eines Angreifers weiter einzuschränken, stellte Apple ein neues Sicherheitsfeature mit dem Release von OS X El Capitan vor. Ob und wie diese neue Technologie die Sicherheit von Apples Betriebssystem verbessert, wird im Verlaufe der Bachelorarbeit evaluiert.

Ziel

2015 beschäftigten sich einige SicherheitsforscherInnen mit der Sicherheit von Apples Betriebssystems OS X (macOS) und entdeckten dabei mehrere Schwächen. Mit dem neuen Release von OS X 10.11 El Capitan wurde ein neues und systemweites Sicherheitsfeature namens System Integrity Protection vorgestellt. In dieser Bachelorarbeit wurde evaluiert, ob die zuvor entdeckten Schwachstellen mit dem neuen OS X Release entweder durch einen Patch eines der Sicherheitsfeatures oder direkt durch die Einführung von System Integrity Protection behoben wurden. Darüber hinaus werden einzelne Angriffe sowie die Grundlagen diverser Sicherheitsfeatures im Detail begutachtet. Um aufzuzeigen, wie trivial teilweise das Umgehen von Apples Sicherheitsfeatures sein kann, wurde ein Malware Sample entwickelt.

Ergebnis

Mit der Einführung von System Integrity Protection wurde die allgemeine Sicherheit von Apples Betriebssystem erhöht und in weiterer Folge die Angriffsfläche, welche einer Angreiferin bzw. einem Anfreifer zur Verfügung steht, sobald dieser root-Privilegien erhält, reduziert. Die bekannten Sicherheitsmängel in Apples Security-Features bestehen weiterhin und werden nur teilweise durch System Integrity Protection verhindert. Des Weiteren wurde aufgezeigt, wie diverse Schwachstellen unter OS X ausgenutzt werden können. Schlussendlich wurde ein Proof-of-Concept Malware Sample entwickelt, welches die zuvor aufgezeigten Mängel zu seinem Vorteil nützt.