Auf der Black-Hat-Sicherheitskonferenz präsentierte der IT-Experte Dino Dai Zovi ein Rootkit für Apples Betriebssystem MacOS X. Er trat damit den Beweis an, dass auch Apples Systemsoftware gravierende Schwachstellen aufweist.

Schadenfreude seitens der Mac-Gemeinde, wenn wieder einmal ein Sicherheitsloch in Windows oder DirectX auftaucht, scheint weniger angebracht denn je. Zum einen entdecken immer mehr Virenprogrammierer MacOS als lohnendes Objekt (siehe Bericht), zum anderen ist offenkundig auch Apples Betriebssystem alles andere als »wasserdicht«.

Den Beweis trat der Sicherheitsforscher Dino Dai Zovi auf der Black-Hat-Konferenz in Las Vegas an. Er zeigte dort den »Proof of Concept« eines Rootkits für Apples Betriebssystem. Details zum Rootkit namens »Macchiavelli« liefert Zovi in diesem White Paper.

Nach Angaben des Forschers waren bislang nur wenige Rootkit-Techniken für den Mach- und BSD-Kernel bekannt, auf dem MacOS basiert. Eines ist das WeaponX-Rootkit des Hackers Nemo. Weitere beschreibt Zovi in seinem Buch The Mac Hacker’s Handbook, das er zusammen mit Charles Miller geschrieben hat.

RPCs auf Remote-Systemen ausführen

»Macchiavelli« besteht aus einem Mach-Proxy-Server auf einem lokalen Host und Agenten, die auf Host-Systemen platziert werden, die ein Angreifer steuern möchte. Damit, so Zovi, kann ein Angreifer von dem lokalen Host aus Remote Procedure Calls (RPCs) auf dem entfernten Mac-System ausführen.

Zovi will aus seiner Web-Seite in Kürze mehrere Software-Tools bereitstellen, mit denen sich Sicherheitslücken in MacOS nachweisen lassen. Dazu gehören »Inject Bundle«, »iChatSpy« für die Analyse von Instant-Messages und »SSLSpy« für das Mitschneiden von SSL-Datenverkehr. Mit »Uncloak« will er zudem ein Tool anbieten, das Rootkits identifiziert.