Nachdem erst kürzlich in iOS 12 eine Sicherheitslücke in den Gruppen-Chats von FaceTime entdeckt wurde, ist nun auch ein Sicherheitsproblem in macOS aufgetaucht. Dieses erlaubt unter anderem das Auslesen von Kennwörtern.

 
macOS 10.14
Facts 
Software-Reihe:MacOS
Sprachen:Deutsch
Plattformen:Mac OS X
Mehr zu macOS 10.14:News, Tipps, Galerien

macOS: Sicherheitslücke erlaubt Auslesen von Passwörtern im Schlüsselbund des Macs

Viele Apps und Systemdienste nutzen den in macOS integrierten Schlüsselbund, um dort unter anderem Passwörter zu speichern. Dieser Schlüsselbund kann durch Eingabe des Passworts entsperrt werden und erlaubt so Zugriff auf die Daten. Betroffen ist macOS inklusive der aktuellen Version 10.14.3 Mojave.

Sicherheitsforscher Linus Henze hat nun einen Weg gefunden, wie er mit einer manipulierten App ohne die Eingabe eines Passworts an die im Schlüsselbund gespeicherten Daten gelangt. Auch „sichere Notizen“ könnten von der Schwachstelle betroffen sein. Ein Hacker könnte eine entsprechende Funktion beispielsweise in einer anderen App verstecken, die man aus dem Internet geladen hat und normalerweise vertraut.

Wie einfach die Methode zum Auslesen der im Schlüsselbund gespeicherten Daten ist, demonstriert Henze in einem kurzen Video:

Wie heise berichtet ist es durch die Lücke aber nicht möglich, Daten auszulesen, die im iCloud-Schlüsselbund gespeichert werden und so auch im Schlüsselbund des Macs auftauchen.

macOS-Sicherheitslücke wurde bislang nicht an Apple gemeldet

Konkrete Details, wie diese Schwachstelle funktioniert, nannte Henze nicht – auch bei Apple hat er sich bislang nicht gemeldet. Er habe keinen Exploit veröffentlicht und will die gesammelten Informationen auch nicht an Dritte verkaufen.

Die iCloud-Daten sind wohl erst mal sicher, befinden tun sich diese unter anderem hier:

MacBook Air bei Cyberport

Er will das Unternehmen aus Cupertino so unter Druck setzen und eine Diskussion anstoßen, damit man – wie schon bei iOS – auch für macOS ein so genanntes Bug-Bounty-Programm anbietet, welches Forscher und Entwickler dafür bezahlt, um derartige Sicherheitslücken beim Hersteller zu melden. Apple nennt aktuell lediglich die Namen derer, die ein Problem in macOS gemeldet haben, eine Bezahlung für diese Lücken gibt es aber nicht. Laut heise erhofft sich Lenze, dass andere Entwickler ihre gefundenen macOS-Sicherheitslücken ebenfalls zeigen, ohne das Unternehmen vorab zu informieren.

Von Apple gibt es keine Informationen zu dem beschriebenen Problem. Da dem Unternehmen keine Details vorliegen, ist es daher auch unbekannt ob und wann die Lücke in macOS geschlossen wird.