Schnelle Sicherheitsmaßnahmen bei Apple-Betriebssystemen
Schnelle Sicherheitsmaßnahmen (RSRs) für iOS, iPadOS und macOS liefern wichtige Sicherheitsverbesserungen zwischen Softwareupdates, wie zum Beispiel Verbesserungen im Safari-Webbrowser, dem WebKit-Framework-Stack sowie weiteren wichtigen Systembibliotheken. RSR-Maßnahmen sorgen für eine schnelle Bereitstellung laufender und regulärer Sicherheitsverbesserungen. Sicherheitsinhalte der schnellen Sicherheitsmaßnahmen werden im Apple Support-Artikel Apple-Sicherheitsupdates und -maßnahmen veröffentlicht. RSR-Maßnahmen unterscheiden sich folgendermaßen von Softwareupdates:
Auf Geräten mit macOS werden Sicherheitsverbesserungen für Safari, die über eine RSR-Maßnahme geliefert wurden, aktiv, sobald Safari erneut gestartet wird, sogar noch bevor das gesamte Betriebssystem neu startet.
RSR-Maßnahmen werden direkt beim Neustart aktiviert. Das Systemvolume muss nicht erneut kryptografisch verschlossen werden, wodurch das Gerät keine RAM-Disk durchlaufen muss.
Für RSR-Maßnahmen kann der Batterieladestand niedriger sein, als für die Installation eines Softwareupdates erforderlich ist.
Eine RSR-Maßnahme kann entfernt werden. Hierdurch wird das Gerät Softwareupdates betreffend auf den Ausgangsstatus zurückgesetzt und keine RSR-Maßnahmen werden angewendet.
Eine RSR-Maßnahme kann erneut angewendet werden, nachdem sie entfernt wurde.
Das Systemvolume in iOS, iPadOS und macOS wurde neu organisiert, um RSR-Maßnahmen zu unterstützen. Inhalte, die mit dem RSR-Mechanismus gepatcht werden können, wurden in Cryptexes verschoben. Hierbei handelt es sich um optimierte, kryptografisch verschlossene Festplatten-Images, die sich zusätzlich zu anderer Boot-Firmware auf dem Preboot-Volume befinden. Cryptexes haben verschiedene Unterarten für Framework-Komponenten und -Apps von Betriebssystemen. Außerdem können sie aktualisiert werden, indem ein binärer Patch auf ihre zusätzliche Festplatten-Image-Datei angewendet wird.
Cryptex-Inhalte werden geladen, nachdem der Kernel gestartet wurde. Die Kennzahlen der Cryptexes, ihre Dateisystem-Seals (Siegel) und ihre Caches für die Vertrauensstellung (Trust Caches) sind alle in einem separaten Image4-Ticket aufgelistet, welches kryptografisch an das Gerät, auf dem es sich befindet, gebunden ist. Wenn eine RSR-Maßnahme angewendet wird, sendet das Gerät eine Anfrage an den vertrauenswürdigen Signierungsdienst von Apple, um ein entsprechendes Cryptex1Image4-Manifest zu erhalten. Das existierende AP-Boot-Ticket wird nicht aktualisiert.
Auf Geräten mit macOS kann eine RSR-Maßnahme Benutzer:innen die Option geben, die Änderungen an der RSR-Maßnahme auf den Safari-Webbrowser anzuwenden, indem er geschlossen und dann neu gestartet wird. Nachdem Safari erneut gestartet wurde, verwendet es das Framework und die Bibliotheksinhalte des neuen Cryptexes. Das übrige Betriebssystem ist nicht betroffen und verwendet die neuen Inhalte erst, wenn das System neu gestartet wird.
RSR-Maßnahmen entfernen
RSR-Maßnahmen sind so entworfen, dass sie im Falle der Entdeckung einer mit einer RSR-Maßnahme assoziierten kritischen Regression entfernt werden können. Benutzer:innen können außerdem bei Bedarf alle schnellen Sicherheitsmaßnahmen, die gerade auf ihrem Gerät aktiv sind, entfernen. Zusätzlich kann Apple – falls eine schnelle Sicherheitsmaßnahme die Softwarekompatibilität oder -qualität betreffen sollte – die zuletzt angewendete schnelle Sicherheitsmaßnahme mithilfe des Mechanismus der automatischen Softwareupdates entfernen. Um die Entfernung zu ermöglichen, werden RSR-Maßnahmen mit einem Patch und einem Antipatch auf das Gerät geliefert. Wenn Benutzer:innen eine Entfernung durchführen, wird sie verwendet, um alle Cryptexes wieder in ihrem Basiszustand zu versetzen. Sprich, die Entfernungsaktion entfernt sämtliche aktuell installierte RSR-Maßnahmen, wodurch gepatchte Systembinärdateien wieder auf die Version des zuletzt installierten Softwareupdates zurückgesetzt werden. Für die vollständige Entfernung von RSR-Maßnahmen ist ein Neustart erforderlich. Weitere Informationen findest du im Apple Support-Artikel Wenn du eine Rapid Security Response entfernen musst.
Empfehlungen zur Entfernung
Wenn Apple bemerkt, dass eine schnelle Sicherheitsmaßnahme zu einer möglicherweise höheren Rate von App-Abstürzen beiträgt, werden die Identitäten der betroffenen Apps von einem Dienst veröffentlicht, den die Geräte regelmäßig abfragen. Geräte, bei denen RSR-Maßnahmen installiert sind, verwenden dann ein integriertes Analysesystem, um zu prüfen, ob eine der betroffenen Apps deutlich häufiger abstürzt, seitdem die RSR-Maßnahme installiert wurde. Wenn ein solcher Absturz geschieht, teilt das Betriebssystem den Benutzer:innen mit, dass die RSR-Maßnahme möglicherweise zu diesem Problem beiträgt. Benutzer:innen erhalten dann die Möglichkeit, alle RSR-Maßnahmen zu entfernen und das Gerät auf das zuletzt installierte Softwareupdate zurückzusetzen.
Analysen, die Entfernungsempfehlungen betreffen (wie zum Beispiel die App, wegen der die Empfehlung ausgesprochen wurde oder die Tatsache, dass die Empfehlung angezeigt wurde), werden an Apple gesendet, vorausgesetzt, dass die Benutzer:innen dem Teilen dieser Informationen mit den folgenden Einstellungen zugestimmt haben:
iPhone: „Einstellungen“ > „Datenschutz & Sicherheit“ > „Analyse & Verbesserungen“ > „iPhone- & Watch-Analyse teilen“.
iPad: „Einstellungen“ > „Datenschutz & Sicherheit“ > „Analyse & Verbesserungen“ > „iPad-Analyse teilen“.
Mac: „Einstellungen“ > „Datenschutz & Sicherheit“ > „Analyse & Verbesserungen“ > „Mac-Analyse teilen“