Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › MacOS High Sierra: Apple blockiert…

Mit 10.14 sind KEXT tot

  1. Thema

Neues Thema Ansicht wechseln


  1. Mit 10.14 sind KEXT tot

    Autor: /mecki78 23.06.17 - 12:04

    Das hat Apple unter der Hand allen Entwicklern auf der WWDC gesagt. Daher hat Apple alle Entwickler aufgefordert, sie mögen sich doch bitte bei Apple melden und erklären, wozu genauso im Moment eine Kernel Extension brauchen und was das System ihnen bieten müsste, damit sie in Zukunft darauf auch verzichten können. Die Aussage war in etwa (frei formuliert):

    "Wir wollen keinen generischen Kernel Extensions mehr, weil eine KEXT hat Zugriff auf alles, sie kann jeglichen Schutz des Systems aushebeln und wenn sie abstürzt reißt sie das ganze System mit. Hat ein Angreifer eine KEXT im System, dann hilft der beste Virenscanner bzw. die beste Firewall App der Welt nichts mehr. Für Hardwarehersteller wird es weiterhin die Möglichkeit geben ihre Treiber als KEXT zu liefern, denn manchmal geht das nicht anders, aber alle anderen wollen wir in den Userspace umziehen. Natürlich werden wir dafür neue oder weiterführende APIs anbieten müssen, aber wir wissen nicht was ihr braucht, also müsst ihr hier bitte auf uns zu kommen!"

    Ich kann Apple hier schon verstehen. Zum einen beschränken sie massiv was mit root rechten läuft, denn das ist immer gefährlich. Und dann ist "root" unter macOS nicht allmächtig, da das System pro Nutzer eine Session aufmacht. Ein Admin kann zwar leicht root Nutzer werden ("sudo"), aber er ist dann eben nur root Nutzer, er hat keine root User Session. Umgekehrt kann nicht einmal der allmächtige root User seine Session verlassen und sich in eine Nutzersession hängen. D.h. gibt es etwas, wo nur der Eigentümer einer Session drauf zugreifen darf, dann kann ich ein Gast Nutzer mit minimalen Rechten sein, auch ein Admin der jetzt root ist kommt dann da nicht ran! Beispiel: Der Schlüsselbund, der Passwörter speichert, ist z.B. an die Nutzersession gebunden (damit wird verhindert, das nur weil jemand root Nutzer werden kann, er auf die Passwörter der anderen Nutzer im System zugreifen kann). Und als ob das alles nicht schon sicher genug wäre, gibt es in macOS 10.12 Dateien, an die kommt nicht einmal mehr der root User ran (System Integrity Protection); nur Apple selber kann diese Dateien anfassen direkt aus dem Kernel heraus, alle Versuche diese Dateien aus dem Userspace anzufassen, egal welcher Nutzer mit welchen Rechten über welche API, werden vom System hart unterbunden. Und abschalten lässt sich dieser Modus nur wenn man in den Recovery Modus bootet, im laufenden System kann man den nicht abschalten (wird der einmal beim Boot aktiviert, dann muss der bis zum Neustart aktiviert bleiben)

    Aber alles das... ist rein gar nichts wert, solange man es über eine KEXT ganz leicht aushebeln kann. Daher der Zwang, das KEXT jetzt signiert sein müssen und zwar mit einer speziellen Signatur, die man nur erzeugen kann, wenn einen Apple vorher dafür frei geschaltet hat. Nur selbst das hilft im Zweifel nicht, wenn der Angreifer sich in dein System hacked und dort den Source Code manipuliert, was ja auch schon passiert ist (und plötzlich hatten harmlose Tools einen Trojaner mit dabei). Ergo geht man einen Schritt weiter und verabschiedet sich gleiche ganz von KEXTs.

    Nachteil ist höchstens Performance, da man jetzt Daten ggf. einmal durch den Userspace schleifen muss, die bisher im Kernel bleiben durften. Aber was Sicherheit und Stabilität angeht, ist es viel besser, wenn sich nicht mehr so viele Apps in den Systemkern hängen müssen.

    Und faktisch müssten das heute schon viele nicht mehr, da es hier bereits Alternativen gibt. Problem ist nur: Die Entwickler sehen keinen Grund sich die Mühe zu machen auf das neue Verfahren umzusteigen, solange das alte noch läuft, dann brauchen sie das alte Verfahren sowieso noch um ältere Systemversionen zu unterstützen (denn die kannten das neue Verfahren noch nicht) und zwei Varianten zu pflegen ist ihnen zu viel Aufwand, also bleiben sie einfach beim alten Verfahren. Das Apple sie hier ein bisschen Druck macht, finde ich nicht schlecht, das war unter macOS schon immer so (Apple zwingt Entwickler regelmäßig alte API durch neue ersetzen, ganz anders als Windows, wo alte API immer bis zur Vergasung mitgeschleift wird)

    Und das ganz hat auch noch einen weiteren Vorteil: Unter iOS gab es ja noch nie KEXTs für Drittanbieter und wird es wohl auch nie geben. Aber manche dieser alternativen APIs gibt es bereits für iOS und andere könnten dort auch kommen, zumindest in abgespeckter Form. Apple ist hier durchaus bereit sich etwas weiter zu öffnen. So gab es ewig unter iOS keine Dritttastaturen und keine Werbeblocker, weil es die entsprechenden APIs nicht gab, aber jetzt gibt es sie. Warum sollte eine App wie LittleSnitch nicht auch unter iOS möglich sein? Derzeit ist sie nicht möglich, aber derzeit braucht man für so eine App auch noch eine KEXT. Geht das künftig über KEXT am Mac, warum diese API nicht auch unter iOS anbieten? Apple will zwar iOS und macOS nicht verheiraten, das betonen sie immer wieder, aber sie möchten schon, dass die Systeme sich überall dort wo das möglich und sinnvoll ist so ähnlich wie möglich sind, damit man möglichst oft einfach den gleichen Code für beide Systeme nutzen kann.

    Und es hat sogar noch einen Vorteil: Man reduziert die Anzahl der root Prozesse im System. Denn oft ist es ja so, man hat eine App, mit UI, die läuft im Userspace mit Userrechten und man hat eine KEXT, die hängt im Kernel und irgendwie müssen die beiden miteinander kommunizieren... nur das dürfen sie nicht. Nur ein root Prozess darf mit einer KEXT kommunizieren. D.h. alle diese Apps müssen auch noch einen Systemdaemon installieren, der mit root Rechten läuft, nur damit sie mit ihrer eigenen KEXT kommunizieren können. Und auch das ist wieder ein Angriffspunkt, wer weiß wie gut diese Daemons programmiert sind. Wenn die App künftig keinen KEXT und auch keinen root Prozess mehr braucht, dann kann man sie auch über den Mac App Store verteilen, weil der verbietet beides.

    Also auch wenn es jetzt erst mal mehr Supportaufwand und mehr Programmierarbeit für die Entwickler ist, langfristig ist das der richtige Weg (weil der Weg führt weg von einem fetten, hin zu eine schlanken Kernel) und wird für die Nutzer eher nur Vorteile haben. D.h., sofern Apple ihr Versprechen einhält und diese lautete (auch frei wiedergegeben):

    "Jede App mit KEXT die unter High Sierra läuft, wird auch auf dessen Nachfolger laufen. Entweder über eine neue API, so dass sie keine KEXT mehr braucht oder sie bekommt von uns eine Ausnahmeregelung, dass sie weiterhin eine KEXT nutzen darf wie ein Hardwarehersteller. Wichtig ist nur, dass sich der Hersteller mit uns rechtzeitig in Verbindung setzt und uns sagt, was er von uns ggf. braucht."

    Ich weiß, ist wie ein Wahlversprechen. Nach der Wahl kann man es nicht einfordern, wird werden also sehen.

    /Mecki

  2. Re: Mit 10.14 sind KEXT tot

    Autor: Frotty 23.06.17 - 12:24

    Aha

  3. Re: Mit 10.14 sind KEXT tot

    Autor: Noro_Eisenheim 23.06.17 - 22:07

    Danke diese detaillierte Antwort!



    2 mal bearbeitet, zuletzt am 23.06.17 22:12 durch Noro_Eisenheim.

  4. Re: Mit 10.14 sind KEXT tot

    Autor: lanG 23.06.17 - 23:33

    Dude - ich finds echt klasse das du dir die Zeit für den Text genommen hast. Gibt einem extrem interessante und hilfreiche Hinweise und Einblicke - eindeutig Daumen hoch!!

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. PUREN Pharma GmbH & Co. KG, München
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf, Münster, Hagen
  3. DIS AG, München
  4. Dataport, Bremen, Berlin, Magdeburg, Hamburg, Rostock, Altenholz bei Kiel, Halle (Saale)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 59,99€ für PC/69,99€ für PS4, Xbox (Release am 4. Oktober)
  2. (-75%) 8,80€
  3. 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  2. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS
  3. Indiegames Stardew Valley kommt auf Android

Vernetztes Fahren: Wer hat uns verraten? Autodaten
Vernetztes Fahren
Wer hat uns verraten? Autodaten

An den Daten vernetzter Autos sind viele Branchen und Firmen interessiert. Die Vorschläge zu Speicherung und Zugriff auf die Daten sind jedoch noch nebulös. Und könnten den Fahrzeughaltern große Probleme bereiten.
Eine Analyse von Friedhelm Greis

  1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
  2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
  3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften

Webbrowser: Das Tracking ist tot, es lebe das Tracking
Webbrowser
Das Tracking ist tot, es lebe das Tracking

Die großen Browserhersteller Apple, Google und Mozilla versprechen ihren Nutzern Techniken, die das Tracking im Netz erschweren sollen. Doch das stärkt Werbemonopole im Netz und die Methoden verhindern das Tracking nicht.
Eine Analyse von Sebastian Grüner

  1. Europawahlen Bundeszentrale will Wahl-O-Mat nachbessern
  2. Werbenetzwerke Weitere DSGVO-Untersuchung gegen Google gestartet
  3. WLAN-Tracking Ab Juli 2019 will Londons U-Bahn Smartphones verfolgen

  1. Videostreaming: Netflix und Amazon Prime Video locken mehr Kunden
    Videostreaming
    Netflix und Amazon Prime Video locken mehr Kunden

    Der Videostreamingmarkt in Deutschland wächst weiter. Vor allem Netflix und Amazon Prime Video profitieren vom Zuwachs in diesem Bereich.

  2. Huawei: Werbung auf Smartphone-Sperrbildschirmen war ein Versehen
    Huawei
    Werbung auf Smartphone-Sperrbildschirmen war ein Versehen

    Besitzer von Huawei-Smartphones sollten keine Werbung mehr auf dem Sperrbildschirm sehen. Der chinesische Hersteller hatte kürzlich Werbebotschaften auf seinen Smartphones ausgeliefert - ungeplant.

  3. TV-Serie: Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite
    TV-Serie
    Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite

    Der Pay-TV-Sender Sky hat die Serie Chernobyl in der Schweiz mit Untertiteln ausgestrahlt, die von einer Fan-Community erstellt wurden. Wie die inoffiziellen Untertitelspur in die Serie gelangt ist, ist unklar.


  1. 12:24

  2. 12:09

  3. 11:54

  4. 11:33

  5. 14:32

  6. 12:00

  7. 11:30

  8. 11:00