Neuer Terminalschutz: So will Apple ClickFix-Angriffen abwehren

Seitdem KI-Agenten und lokale Sprachmodelle im Mainstream angekommen sind, unternehmen auch immer mehr Anfänger Ausflüge ins macOS-Terminal – und überheben sich dabei möglicherweise. Die größte Gefahr sind sogenannte ClickFix-Angriffe, bei denen Nutzer von Angreifern dazu angeleitet werden, Eingaben in der Kommandozeile zu tätigen, die dann schwerwiegende Lücken ins System reißen und Spy- oder Malware installieren, die man nur schwer wieder loswird. Um die Attacken abzuwehren, bringt macOS seit dem Frühjahr immerhin ein neues Warnsystem mit. Wie genau das intern funktioniert, hatte Apple bislang allerdings nicht beschrieben. Mit einem frisch aufgesetzten Supportdokument ändert sich das nun.

Problematisch für Profis, zumindest am Anfang

Apples Ansatz ist dabei sehr simpel: Das Terminal achtet künftig auf eine „verdächtige Einfügeaktivität“. Auch bekannte Malware in Kommandozeilenbefehlen und Skripts sollen so abgefangen werden, schreibt Apple. Allerdings kann die Warnfunktion auch überempfindlich sein. „Diese Warnung wird angezeigt, wenn du Terminal nicht regelmäßig verwendest und den Befehl von einer Website, einem Chat-Agenten oder einer Nachrichten- oder E-Mail-App kopiert hast“, schreibt Apple. Das heißt: Es ist denkbar, dass die Warnung auch bei harmlosen Befehlen erscheint, was den ein oder anderen Profi – zumindest bei ersten Einfügeaktionen – stören könnte.

Apple warnt, dass Betrüger die besagten Kanäle verwenden, „um Personen anzuweisen, schädliche Befehle in Terminal einzufügen, um deinen Mac zu schädigen oder deine Privatsphäre zu gefährden“. Die Warnung soll sicherstellen, dass „Du nicht dazu verleitet wirst, einen unerwarteten Befehl auszuführen“.

Vollständige Blockade möglich

Apple betont, dass die Warnung dafür sorgt, dass der Mac „nicht beschädigt“ wird – es passiert also schlicht nichts. Nutzer können den Befehl / das Skript jedoch trotzdem einfügen, wenn sie das wünschen. „Füge den Befehl nur ein, wenn du dir sicher bist, was er bewirkt und woher er stammt“, schreibt Apple. „Das Einfügen eines Befehls, für den eine Warnung vor möglicher Malware angezeigt wird, kann den Mac schädigen oder die Privatsphäre gefährden.“

Es gibt allerdings noch eine schwerwiegendere Stufe. Kennt Apple die Befehle oder Skripts bereits als Malware, werden sie grundsätzlich blockiert. Dann erscheint nur eine Warnnachricht. Haut der Konzern hier daneben, scheint es keine Möglichkeit zu geben, die Ausführung durchzuführen. Die einzige Möglichkeit laut Apple: Dem Konzern „einen Fehler“ melden. Wie schnell er dann reagiert: unklar.

(bsc)