Der Gebrauch von Cookies erlaubt uns Ihre Erfahrung auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

Erfahren Sie mehr

08.02.2019 Apple: Passwortauslese in macOS möglich

Symbolbild

Eine schwere Sicherheitslücke erlaubt Kriminellen, Zugangsdaten des Apple-Passwortmanagers KeyChain auszulesen. Der Entdecker dieser Lücke möchte Apple aber keine Details dazu bekanntgeben.

Der Sicherheitsforscher Linus Henze entdeckte eine schwerwiegende Schwachstelle in Betriebssystem macOS von Apple ― sogar die neueste Version 10.14.3 Mojave ist davon betroffen. In einem öffentlich zugänglichen Video zeigt Henze, wie er mit seiner eigens entwickelten App KeySteal erfolgreich Passwörter aus dem macOS-Schlüsselbund stehlen kann. Spezielle Admin-Berechtigungen braucht es dafür nicht, es reicht, wenn die Nutzerin oder der Nutzer lokal am eigenen Mac angemeldet sind. Die App KeySteal kann dabei auf die Datenbank „login-keychain-db“ zugreifen, welche alle KeyChain-Anmeldedaten speichert.

Da Apple aber für das Aufspüren von derartigen Sicherheitslücken bei macOS keine Belohnungen auszahlt, weigert sich der Forscher, Details an den Hersteller zu übermitteln. Das Exploit-Programm, zum ausfindig machen dieser Sicherheitslücken wird vom Sicherheitsforscher ebenfalls nicht veröffentlicht beziehungsweise weiterverkauft. Henze verweigert die Weitergabe von Details an Apple aus Kritik am fehlenden Bug-Bounty-Programm des Unternehmens. Innerhalb eines solchen Programmes werden den Herstellern Sicherheitslücken geheim gemeldet und im Gegenzug werden die Entdecker für ihren Aufwand finanziell entlohnt.

Apple hat die Sicherheitslücke bis jetzt noch nicht selbstständig schließen können. Die Betroffenen können sich einzig durch eine manuelle Sperre der KeyChain vor einem Hack-Angriff schützen.

Weitere Informationen

Datum der Veröffentlichung: 08.02.2019

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria