In macOS steckt ein ziemlich unschönes Sicherheitsproblem, das den Zugriff auf Passwörter erlaubt, die im Schlüsselbund gespeichert sind. Der Entdecker der Schwachstelle demonstriert die Lücke zwar, will Apple aber nicht verraten, wie sie zu schließen ist.
macOS ist erneut von einer Sicherheitslücke im Schlüsselbund betroffen. Apples Passwortmanager in der iCloud hatte früher bereits Schwächen am Mac gezeigt, Apfellike.com berichtete. Diesmal hat der deutsche Sicherheitsforscher Linus Henze die Lücke entdeckt. Sie erlaubt es, auf die Passwörter im Klartext zuzugreifen, die im Schlüsselbund des Nutzers gespeichert sind. Das Problem entsteht offenbar durch eine unzureichende Absicherung der lokalen Datenbank des Schlüsselbundes auf dem Mac.
Remember KeychainStealer by @patrickwardle which can steal all your keychain passwords?
While his vulnerability is patched now, I've found a new one, affecting macOS Mojave and lower.
More information can be found in my video:https://t.co/wBQL2s6v7z#OhBehaveHack #OhBehaveApple— Linus Henze (@LinusHenze) 3. Februar 2019
Wie es scheint, sind alle Versionen von macOS betroffen, bis einschließlich zur aktuellen Version macOS Mojave 10.14.3.
Sicherheitsforscher will Geld von Apple
Linus Henze, der die Schwachstelle entdeckt hat, hat in einem Video demonstriert, wie seine App auf Passwörter von Nutzern zugreift. Er hatte hierzu zu Demonstrationszwecken ein Facebook-Konto angelegt.
Allerdings möchte Henze die Natur der Lücke nicht an Apple melden. Der Grund: Ihm gefällt nicht, dass Apple Entdeckern von Sicherheitsproblemen in der Regel kein oder nur weniger Geld zahlt als andere Branchengrößen. So schüttet Apple an ausgewählte und zuvor eingeladene Sicherheitsforscher mitunter Belohnungen aus, etwa bei der Entdeckung einer Lücke im Kernel von iOS.
Ob Apple auch selbst die Lösung findet und das Problem abstellt, vielleicht schon mit der kommenden Version macOS Mojave 10.14.4, bleibt abzuwarten.