Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.942.534 Produkten

Leo Becker 137

Sicherheitsforscher: Kritische Lücke in macOS erlaubt Auslesen von Passwörtern Update

MacBook-Tastatur

Bild: dpa, Silas Stein/Illustration

Apps können Zugangsdaten abgreifen, warnt ein Sicherheitsforscher. Da Apple für Mac-Bugs nicht zahlt, wolle er die Lücke nicht melden.

Erneut ist eine schwere Schwachstelle bei dem in macOS integrierten Schlüsselbund bekanntgeworden: Manipulierte Software sei dadurch in der Lage, sämtliche Zugangsdaten des Nutzers aus der lokalen Keychain auszulesen – mitsamt der Passwörter im Klartext, wie der Sicherheitsforscher Linus Henze mitteilte.

Der Zugriff auf die Kennwörter sei selbst durch unsignierte Apps möglich und benötige weder Admin- noch Root-Rechte. Das für den Zugriff gewöhnlich benötigte Passwort werde umgangen. Es reicht offenbar aus, wenn der lokale Nutzer an seinem Mac angemeldet ist.

Die Schwachstelle besteht in macOS bis hin zur aktuellen Version 10.14.3 Mojave, wie Henze in einem Video ausführt, einen Patch gebe es bislang nicht. Auch ältere macOS-Versionen sind angeblich betroffen. Vor anderthalb Jahren wurde bereits eine ähnliche Schwachstelle bekannt, die den Klau aller Schlüsselbund-Passwörter aus macOS ermöglichte – Apple beseitigte das damals mit einem außer der Reihe veröffentlichten "ergänzenden Update" für das Betriebssystem.

Der Sicherheitsforscher hat bislang keinen Exploit zum Ausnutzen der Schwachstelle veröffentlicht, will die Details zu der Lücke aber auch nicht an den Hersteller übermitteln. Der Grund dafür sei "simpel", schreibt Henze und verweist darauf, dass Apple kein Bug-Bounty-Programm für macOS anbietet. Sicherheitsforscher monieren seit längerem, dass Apple bislang ausschließlich Geld für die Übermittlung schwerer Lücken in iOS auslobt – und auch das nur auf Einladung –, nicht aber für macOS.

Voraussetzung für die Ausnutzung der Lücke ist, dass Mac-Nutzer eine entsprechend manipulierte Software auf ihr System lassen und ausführen, eine entsprechende Malware könnte sich natürlich auch in populärer Mac-Software verstecken. Der Schlüsselbund in macOS ist der zentrale Speicherort für Zugangsdaten und enthält gewöhnlich unter anderem die Passwörter für E-Mail-Dienste und soziale Netzwerke. Nutzer können dort auch "Sichere Notizen" ablegen, ob deren Inhalt sich ebenfalls auslesen lässt, bleibt vorerst unklar.

Anzeige

[Update 5.02.2019 16:15 Uhr] Kritische Lücke im Mac-Schlüsselbund: Weitere Details und wie sich Nutzer schützen können. (lbe)

137 Kommentare

Themen:

Anzeige
Anzeige