Erfolg für die Community: Nachdem Patrick Wardle, Entwickler von Mac-Sicherheitstools, nachgewiesen hatte, dass die Ausnahmen, die sich Apple klammheimlich für seine eigene Software gesichert hatte, zu einer erhöhten Angreifbargeit des Betriebssystems führen, hat Apple diese Ausnahmen in Form der sogenannten Content Filter Exclusion List entfernt.

Was war passiert? Im Grunde hatte alles ganz vernünftig begonnen. Ab MacOS 10.15 hatte Apple eine alternative Technologie namens User-Mode Network Extension Framework eingeführt. Die ersetzt die bis dahin für diesen Zwecke genutzten Kernel-Erweiterungen (KEXT) von Drittherstellern – allen voran Anbietern von Firewall-Herstellern.

Unstrittig an dieser Vorgehensweise ist, dass sie eine sicherere Methode darstellt, als jedem Entwickler die Möglichkeit zu geben, eine Kernel-Erweiterung für seine Software zu implementieren. So würde nun der gesamte Datentraffic per Standard-Framework durch eine etwa vorhandene Firewall geroutet und damit abgesichert werden können.

Der Haken besteht darin, dass sich Apple eine umfassende Ausnahme von dieser Vorgehensweise genehmigt hatte. Über 50 der eigenen Apps, darunter der App-Store, waren so aufgesetzt, dass sie eine installierte Firewall schlichtweg umgehen konnten. Das hatte Patrick Wardle in seiner Funktion als Entwickler der Open-Source-Firewall Lulu schnell herausgefunden. Apple hatte das nicht kommuniziert.

Nachdem Wardle Apple zeigen konnte, welches Risiko von einer systemisch angelegten Lücke im Schutzprotokoll ausgehen kann, zeigte sich der Hersteller einsichtig. Die grundlegende Änderung, nämlich der Verzicht auf die Kernel-Erweiterungen, der die Angriffsfläche auf den MacOS-Kernel unbestritten deutlich verringert, bleibt erhalten.

Die Ausnahmen für Systemdienste wurden nun beseitigt. Die Logik ist dabei simpel: Eine nicht vorhandene Liste mit Ausnahmen kann nicht manipuliert werden.