Nicht selten werden gefährliche Sicherheitslücken in Apples Betriebssystemen entdeckt. Erst vor Kurzem musste Apple seinen Dienst Group Facetime deaktivieren, da es möglich war Kontakte abzuhören.
Wenn ein größeres Software Update veröffentlicht wird, kann es dazu kommen, dass beispielsweise Entwickler eine Sicherheitslücke in der aktuellen Softwareversion entdecken. Nun hat es macOS 10.14.3 erwischt. Der Sicherheitsforscher Linus Henze hat eine Lücke in Apples Schlüsselbund auf macOS 10.14.3 entdeckt und auf Youtube veröffentlicht. Hier führt er den Ablauf des Bugs vor – weitere Details wollte er jedoch aus einem bestimmten Grund nicht nennen.
Passwörter auslesen ohne Zugriffsrechte
Henze führt in dem Video vor, wie ein Tool die gesamte Passwortsammlung einfach auslesen könnte. Die Voraussetzung: Das Tool muss auf dem jeweiligen Mac laufen. Das Programm kann in einer App versteckt werden und benötigt nicht einmal Zugriffsrechte auf den Schlüsselbund selbst – es schlägt zu, wenn der Anwender den Mac-Schlüsselbund selbst entsperrt.
Nicht das erste Mal
Genaue Details nannte der Sicherheitsforscher nicht – auch will er den Fehler nicht explizit gegenüber Apple offenlegen. Diese Haltung begründet er damit, dass Apple kein Bug-Bounty-Programm für macOS führt – was alle anderen Hersteller machen.
Apple selbst hat lediglich für iOS ein solches System, was jedoch nicht besonders erfolgreich funktioniert. Bereits 2017 wurde ein ähnlicher Fehler in Apples Schlüsselbund auf macOS entdeckt – erinnert Henze. Eine genaue Einschätzung des Fehlers kann derzeit nicht erfolgen. Dies wird vermutlich demnächst möglich sein, da sicherlich weitere Sicherheitsforscher das Problem analysieren und mehr Informationen dazu bekannt werden.
