Zunächst mal danke für de rege Teilnahme an der Diskussion zu meinem Problem.
Die Art und Weise des System bei macOS 12 in Zusammenarbeit mit den Einstellungen des Startsicherheitsprogramms garantiert dir, dass ein installiertes OS nicht manipuliert installiert / gestartet werden kann, selbst wenn irgendwie magischerweise beim download, so wie du das dir zusammen fantasierst, was angehängt sein sollte. Warum? Weil das System kryptografisch signiert ist und jede Änderung / Ergänzung auch nur eines Bits, eben dieses kryptografische Siegel verändern und damit brechen würde. In Zusammenarbeit mit dem Startsicherheitsprogramm (das per default so eingestellt ist) wird der Start von einem nicht korrekt signierten System nicht ermöglicht.
D.h. der ganze Baum unter /System ist der Teil, der auf einer eigenen Partition liegt und kryptografisch abesichert ist? Nur um das Verfahren dahinter zu verstehen. Nach meinem Kenntnisstand ist es so, dass es eine Installationspartition gibt, auf der das System zur Installation bereit liegt, diese Installationspartition ist signiert / gesichert und wird bei jedem OS-Update mit den Daten des neues OS ersetzt. Von dort werden dann in einem Installationsprozess Dateien auf die andere Partition geschrieben, auf der das ausführbare OS mit allen Zubehör sowie die Benutzerordner liegen. Hier können im laufenden Betrieb auch Dateien verändert oder hinzugefügt werden, auch innerhalb des /System-Ordners, ohne das dies erstmal so bemerkt werden würde. Denn ansonsten verstehe ich auch nicht, wie Malware generell ihr Dasein auf macOS fristen kann, und das auch nach einem Neustart. Es muss also möglich sein, dass sich bösartige "Extensions" irgendwo einnisten, die auch von einem frischen System dann ausgeführt werden.
Zur aktuellen Lücke habe ich gelesen, dass sie erlaubt, dass ein Angreifer beliebigen Code ausführen kann. Beliebiger Code muss nicht zwangsläufig die Installation eines Trojaners oder einer anderen Schadsoftware sein, sondern kann auch nur ein einmaliges Ereignis z.B. zum Abfragen bestimmter Inhalte sein (z.B. Kopiervorgang von Dateien aus dem Benutzerordner oder ähnliches) Denn "beliebiger Code ausführen" klingt für mich nach Zugriff mit root-Rechten. Als Angreifer macht es aber Sinn, ein Tool auf dem System zu lassen, das dort dauerhaft rumhängt und weitere Schweinereien ermöglicht (Nachladen von Code usw). Und hier ärgert mich das träge Vorgehen Apples. Dass es auch anders geht zeigt z.B der Signal-Messenger für macOS, dort bekomme ich manchmal mehrmals am Tag den Hinweis, dass es eine aktualisierte Version gibt, die ich dann mit einfachem Klicken laden kann. Die App wird dann einmal kurz neu gestartet und fertig. SO muss es m.E. auch bei kritischen Systemupdates laufen!
Das sehr angenehme Verfahren zum Löschen der Dateien bei Monterey löscht ja nur die Schlüssel, damit sind die nicht mehr lesbar und das System nur noch in seiner reinen Form drauf, ähnlich iOS. Das wäre die Variante, die ich tatsächlich noch in Betracht ziehen würde, bei der Neueinrichtung des Systems geht dann aber wieder ein halber Tag drauf.
Ich habe mir das Chromebook jetzt als reine Surfmaschine bestellt, Auf dem Mac laufen dann meine Programme, während ich mal so nebenbei Twitter, Youtube, Foren, also reine Surf-Tatätigkeiten auf dem Chromebook mache, damit durch den Besuch infizierter Seiten nicht mein wichtiges Hauptsystem mit sensiblen Daten in Mitleidenschaft gezogen wird. Was soll denn daran falsch sein?
Beste Grüße
