Sicherheit - Symbolbild

5. Februar 2019

Roman van Genabith

macOS-Schlüsselbund unsicher: Deutscher Sicherheitsforscher will sein Wissen für sich behalten

In macOS steckt ein gravierendes Sicherheitsproblem: Passwörter aus dem Schlüsselbund lassen sich auslesen und dazu bedarf es anscheinend nur einer App, die der Entdecker der Schwachstelle kreiert hat. Veröffentlichen will er sie zwar nicht, Apple überlassen mag er sie aber auch nicht.

Apples macOS ist offenbar abermals von einer gravierenden Sicherheitslücke betroffen. Sie steckt im Schlüsselbund, dem Passwortmanager Apples, der alle Logindaten von Nutzern auf Wunsch in der iCloud speichert und auf allen Geräten verfügbar ist. Wie der deutsche Sicherheitsforscher Linus Henze demonstriert hat, ist es möglich, auf den Klartext der Passwörter zuzugreifen, so wie sie in der Datenbank des Schlüsselbunds auf dem Mac gespeichert sind.

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

„KeySteal – Stealing your keychain passwords on macOS Mojave“ direkt öffnen

Das ist etwa mit einer von ihm hierfür entwickelten App möglich, wie er demonstriert hat.

Entdecker möchte Apple nicht unterrichten

Immerhin besitzt Henze genügend Verantwortungsbewusstsein, den Code hinter seinem Angriff nicht öffentlich zu machen. Er möchte aber auch Apple nicht über die Ergebnisse seiner Arbeit unterrichten. Grund dafür ist, dass Apple hierfür in der Regel nichts springen lässt. Nur an ausgewählte und zuvor explizit eingeladene Sicherheitsforscher schüttet Apple Geld aus und auch nur, wenn sie dramatische Sicherheitslücken entdecken, etwa im Kern von iOS.

Wie der Bug nun beseitigt wird, bleibt abzuwarten. Es heißt, alle macOS-Versionen bis einschließlich zur aktuellen macOS 10.14.3-Version seien für die Schwäche anfällig. Ob sie in der aktuellen Beta von macOS 10.14.4 bereits beseitigt ist, ist ungewiss. Lücken im Schlüsselbund auf dem Mac hatte es früher schon wiederholt gegeben. Sie waren aber – wenn auch teils nach geraumer Zeit – von Apple geschlossen worden.

Weitere Artikel

HomePod bei Smart Speaker-Verkäufen in den USA weit abgeschlagen auf dem dritten Platz

iOS 12.2 Public Beta 2 ist da: Euer Eindruck?

10 Gedanken zu „macOS-Schlüsselbund unsicher: Deutscher Sicherheitsforscher will sein Wissen für sich behalten“

  1. Aber ich hab sie doch zuerst entdeckt …. Ist kein Beweis, wenn er selbst auf seinen Mac einen Zugriff hatte. Alle Versionen wird auch nicht bewiesen. KlickBate
  2. Vor 4Stunden und 40 Minuten habt ihr noch geschrieben, dass der Teenager aus den USA etwas bekommt, vermutlich Geld. America first oder was?
    • Interessant tatsächlich, dieser Kontext. Im Ersteren Fall muss Apple hier versuchen, einen weiteren Schaden am image zu vermeiden und eine gewisse Großzügigkeit zeigen, die undankbare Wahrheit ist, harte Arbeit von Sicherheitsexperten honoriert Apple nicht so richtig, zumal es hier zwar eine gravierende Sicherheitslücke in macOS ist, die allerdings wenig für die große Öffentlichkeit taugt. Sie ist relativ technisch. Bei FaceTime war das ganze sogar in den Hauptnachrichten, da fällt die Reaktion natürlich anders aus.
      • Aber das Problem mit dem Schlüsselbund ist doch fast noch gravierender… Für mich ist der Passwortmanager jedenfalls wichtiger als FaceTime Gruppenanrufe, so im täglichen Betrieb mit MBP und iPhone.
      • Sehe ich genauso wie du, ich fürchte nur, die Sache mit FaceTime ist irgendwie populärer. Die Lücke im Schlüsselbund, das ist wahrscheinlich den meisten gar nicht bewusst, welches Potenzial die hat.
  3. Ich kann über das Wasser gehen. Wie ich es mache sage ich nicht und zeigen werde ich es auch nicht. Ich kann es aber, ganz ehrlich!!!
    • Nehmen wir mal an, dass er es wirklich kann (nicht über das Wasser gehen), dann verstehe ich im Zusammenhang mit den Post hier schon seine Reaktion. Es ist nur fair, wenn Apple auch hier zahlt. Selbst das Finden einer Geldbörse ist ja keine besondere Leistung, wird aber doch durch eine Art Finder“lohn“ honoriert.
  4. Das Video taugt überhaupt nicht als Beweis. Natürlich kann man — wie auch in der Schlüsselbund App selbst — die eigenen Passwörter entschlüsseln, wenn die App möglicherweise das Passwort gespeichert hat. Interessant wäre das ganze nur, wenn ich den Schlüsselbund eines anderen Accounts auf dem Rechner entschlüsseln kann, OHNE dessen Log-In-Passwort zu kennen.

Die Kommentare sind geschlossen.