Benutzer der Open-Source-Office-Produktivitätssoftware LibreOffice berichten, dass bei der Installation der App auf dem kürzlich veröffentlichten MacOS 10.15 Catalina zu alarmierende Sicherheitswarnungen aufgetreten sind.
Apple warnte die macOS-Entwickler im Juni, dass alle Mac-Anwendungen, die mit einer Developer-ID signiert sind, auch von Apple’beglaubigt‘ werden müssen. Apple versprach, dass dies eine „optimierte Gatekeeper-Oberfläche“ ermöglichen würde, wenn Benutzer MacOS-Anwendungen aus dem Internet herunterladen.
Der Notardienst von Apple überprüft Apps auf Malware für Entwickler, die Apps außerhalb des App Store von Apple vertreiben. Die Beurkundung kann Fälle verhindern, in denen ein Angreifer das Signaturzertifikat für die Entwickler-ID eines anderen Entwicklers zur Signierung und Verbreitung von MacOS-Malware gefährdet hat.
Während der Public Beta für macOS Catalina bemerkten einige LibreOffice-Benutzer, dass Apples GateKeeper-Warnungen das Potenzial hatten, Benutzer abzuschrecken. „‚LibreOfficeDec.app‘ kann nicht geöffnet werden, da seine Integrität nicht überprüft werden kann“, lautet die Warnung mit zwei Optionen: Zum Lagerplatz wechseln oder Abbrechen.
Während LibreOffice Version 6.2 nicht notariell beglaubigt wurde, ist es anscheinend die neueste Version 6.3. Allerdings erhalten die Benutzer immer noch den GateKeeper-Alarm mit der zusätzlichen Warnung, dass „macOS nicht überprüfen kann, ob die App frei von Malware ist“, so LibreOffice.
„Obwohl wir die Anweisungen ordnungsgemäß befolgt haben, zeigt das System beim Start von LibreOffice 6.3.x – das von Apple beglaubigt wurde – die folgende beängstigende Meldung an: LibreOffice.app kann nicht geöffnet werden, da der Entwickler nicht verifiziert werden kann‘ und bietet nur zwei Optionen: Verschieben in den Bin (löschen) und Abbrechen (Vorgang rückgängig machen, d.h. LibreOffice nicht ausführen)“, schreibt Italo Vignoli von LibreOffice.
Um die Nachricht zu umgehen, empfiehlt LibreOffice dem Benutzer, mit der rechten Maustaste auf das LibreOffice-Symbol zu klicken. Dann zeigt macOS Catalina eine weniger alarmierende Meldung an: „macOS kann den Entwickler von LibreOffice.app nicht überprüfen. Bist du sicher, dass du es öffnen willst?“.
Die andere Möglichkeit, das Problem zu beheben, besteht darin, bei der ersten Warnung auf Abbrechen zu klicken, dann Systemeinstellungen > Sicherheit & Datenschutz zu öffnen und dann auf die Schaltfläche Jedenfalls öffnen neben der Meldung, dass die „App blockiert wurde, weil sie nicht von einem identifizierten Entwickler stammt“.
Im Jahr 2018 schätzte die Document Foundation, die gemeinnützige Organisation der kostenlosen Office-Suite, dass es weltweit 200 Millionen aktive LibreOffice-Anwender gab.
Was die Beurkundung von Apple betrifft, so hat der App-Entwickler Jeff Johnson kürzlich erklärt, dass der entscheidende Sicherheitsvorteil darin besteht, dass Entwickler ihre Apple-ID und ihr Passwort für ihr Developer-Konto verwenden müssen, um die App an Apple zur Beurkundung zu übermitteln.
Mit anderen Worten, ein Angreifer müsste sowohl ein Signaturzertifikat als auch die Apple-ID des Entwicklers gefährden, um die Malware zu verbreiten. Die zusätzliche Sicherheit ergibt sich aus der jüngsten Anforderung von Apple, dass für alle Entwicklerkonten die Zwei-Faktor-Authentifizierung aktiviert sein muss.