Hallo Christian.

Bedeutet dies, dass unter Macs jeder beliebige User einfach so
Kernelmodule hinzu laden kann?

Nein, dazu muss er das root-Passwort kennen.

Also muss der User auch hier als root unterwegs sein, damit dieses „Root“kit greift.
Dann verstehe ich aber diesen Auszug nicht ganz:

„[...] Running this app brings up a long legal agreement, clicking Continue prompts you for your username/password (uh-oh!), and then promptly exits. Digging around a bit, I find that Start.app actually installs 2 files: PhoenixNub1.kext and PhoenixNub12.kext.
Personally, I'm not a big fan of anyone installing kernel extensions on my Mac. [...]“

Das würde bedeuten, dass Mr. Dittrich hier als root unterwegs war, wenn er nach *seinem* Usernamen und Passwort gefragt wurde und daraufhin die Kernelmodule installiert und geladen wurden, was ja nur als root möglich ist.

Einen schönen Freitag noch.

Gruß, Ashura