Mit der Einführung von macOS Catalina 10.15.4 löst Apple die Kernel-Erweiterungen durch Systemerweiterungen ab. Was bedeutet das für Entwickler und Data Loss Prevention-Tools? Werfen wir einen genaueren Blick darauf.
Apple führte im September 2019 mit macOS Catalina 10.15.0 Systemerweiterungen anstelle von Kernel-Erweiterungen (Kernel Extensions, KEXTs) ein. Die neuen Erweiterungen werden seither parallel zu den Kernel-Erweiterungen verwendet. Mit macOS Catalina 10.15.4 beginnt jetzt das Ende der KEXTs. Das bedeutet im Wesentlichen, dass die Verwendung von KEXTs eine Benachrichtigung an den Benutzer auslöst mit der Information, dass veraltete KEXTs verwendet werden, und der Bitte, den Entwickler für Alternativen zu kontaktieren.
KEXTs versus Systemerweiterungen
Sowohl KEXTs als auch Systemerweiterungen ermöglichen es Benutzern, Anwendungen zu installieren, die die nativen Merkmale und Funktionen von macOS erweitern. Den Unterschied macht die Ebene, auf der der Code ausgeführt wird.
Bisher wurden bei der Entwicklung von Anwendungen für macOS KEXTs verwendet, die Code auf der Kernel-Ebene ausführen. Allerdings öffnet die Möglichkeit, dass Entwickler auf den Kernel zugreifen, potenziellen Angreifern ebenfalls einen Weg dorthin. Cyberkriminelle haben in der Vergangenheit KEXTs von Drittanbietern ausgenutzt oder eigene Kernel-Erweiterungen entwickelt, die dann für Angriffe genutzt wurden. Die neuen Erweiterungen blockieren diesen Weg und beschränken die Ausführung von Code auf einen kontrollierten Userspace. Das beseitigt einen bedeutenden Angriffsvektor auf das Betriebssystem und verbessert seine Sicherheit.
Allerdings könnten die Systemerweiterungen Sicherheitswerkzeuge von macOS beeinträchtigen, da sie stark vom vollen Zugriff auf den Kernel abhängen. Apple hat deshalb eine Reihe spezieller Frameworks wie das Endpoint Security Framework entwickelt, die den Entwicklern die vollständige Implementierung von Sicherheitsanwendungen ermöglichen, so dass die Benutzer auch weiterhin vor Malware oder Datenverlust geschützt sind.
Endpoint Protector – DLP mit Systemerweiterungen
Endpoint Protector ist von Anfang an eine plattformübergreifende DLP-Lösung und stellt vergleichbare Funktionalität sowohl für Windows als auch für macOS zur Verfügung. Die Benutzer können für beide Betriebssysteme die gleichen Richtlinien verwenden und das gleiche Schutzniveau sicherstellen.
Die Lösung bietet deshalb auch Zero-Day-Support für Catalina 10.5.4. Ein neuer Agent auf der Basis von Apples neuem Endpoint Security Framework erlaubt es Benutzern der neuesten Betriebssystem-Version, auf Data Loss Prevention mit Systemerweiterungen umzusteigen. Damit ist Endpoint Protector einer der ersten DLP-Anbieter, der einen Agenten ohne Kernel-Erweiterung zur Verfügung stellt.
macOS Catalina soll das letzte macOS sein, das Erweiterungen von Legacy-Systemen unterstützt. Der Legacy-Client von Endpoint Protector wird jedoch weiterhin auf älteren Versionen des Betriebssystems, von macOS 10.8 bis macOS 10.15, arbeiten.
