Apple hat in der Version macOS Tahoe 26.4 eine neue Sicherheitsfunktion eingeführt, die potenziell gefährliche Befehle erkennt, die in das Terminal eingefügt werden. Wenn solche Befehle erkannt werden, stoppt das System die Ausführung und zeigt eine Warnung an, bevor der Benutzer fortfahren kann. Diese Änderung wurde in den offiziellen Versionshinweisen von Apple für macOS Tahoe 26.4 nicht erwähnt und wurde erstmals von den Benutzern bemerkt, nachdem die Version-Release-Kandidatenstruktur veröffentlicht wurde.

Die Sicherheitsmaßnahme scheint darauf abzuzielen, Benutzer davon abzuhalten, böswillige Befehle in das Terminal einzufügen, oft unter dem Vorwand, ein Problem zu beheben oder etwas zu überprüfen, was typischerweise bei ClickFix-Angriffen vorkommt. Da der Benutzer die Befehle manuell einfügen muss, werden die Standard-Sicherheitsvorkehrungen oft umgangen.

Wie die Terminal-Einfüge-Warnung in macOS Tahoe 26.4 funktioniert

Wenn ein Benutzer einen Befehl aus Safari kopiert und in das Terminal einfügt, verzögert das System die Ausführung und zeigt eine Warnung an. Die Warnung informiert die Benutzer, dass der Befehl noch nicht ausgeführt wurde und warnt, dass Betrüger typischerweise böswillige Anweisungen über Websites und andere Kanäle verbreiten.

Benutzer haben zwei Optionen: Wenn sie der Quelle nicht vertrauen oder sich über den Befehl unsicher sind, können sie das Einfügen abbrechen oder, wenn sie den Befehl kennen und ihn ausführen möchten, mit der Ausführung fortfahren. Apple empfiehlt, dass die Benutzer fortfahren, solange sie verstehen, was der Befehl bewirken wird.

Laut Benutzerberichten auf Reddit erscheint die Warnung nur einmal pro Terminal-Sitzung. In einem Test führte das Einfügen bekannter destruktiver Befehle, die in böswilligen Aktivitäten verwendet wurden, nach Ablehnung der ersten Warnung nicht zu weiteren Warnungen. Ein anderer Benutzer stellte fest, dass das Einfügen harmloser Befehle die Warnung nicht auslöste; dies deutet darauf hin, dass eine Art von Befehlsanalyse durchgeführt wird, aber Apple hat keine klare Erklärung dazu abgegeben, wie die Erkennung funktioniert.

Umfang und Einschränkungen des neuen Terminal-Einfüge-Schutzes

Apple hat kein unterstützendes Dokument veröffentlicht, das erklärt, wie das Warnsystem funktioniert; dies schafft Unklarheiten darüber, welche Erkennungskriterien verwendet werden oder welche Befehlsmuster die Warnungen auslösen. Es ist auch unklar, ob die Unterbrechung auch auf Befehle angewendet wird, die aus Quellen außerhalb von Safari eingefügt werden, oder ob Terminal-Sitzungen, die über Automatisierung oder Skripte gestartet werden, auf die gleiche Weise überprüft werden.

Da die Erkennungsmethode nicht erläutert wurde, sollten Benutzer sich nicht ausschließlich auf die Warnung verlassen, um sich vor ClickFix-Angriffen zu schützen. Befehle von nicht vertrauenswürdigen Websites, E-Mails oder Support-Chats sollten auch dann nicht ausgeführt werden, wenn eine Warnung angezeigt wird. BleepingComputer hat Apple um eine Erklärung gebeten, aber das Unternehmen hat derzeit keine öffentliche Antwort auf Fragen zu dieser Funktion gegeben.