10. Januar 2018

Roman van Genabith

macOS erneut mit Lücke: App Store-Einstellungen lassen sich ohne gültiges Passwort ändern

Zum Abend noch eine erfrischende Sicherheitslücke: macOS erlaubt es in der aktuellen Version, die Einstellungen des App Stores ohne Passwort zu ändern. Das kann absolut jeder in weniger als einer Minute bewerkstelligen, wenn ein Administrator angemeldet ist.

macOS ist abermals von einer ungemütlichen Sicherheitslücke betroffen. Sie wurde unlängst von einigen Experten entdeckt, wohl eher durch Zufall, denn sie erfordert keinerlei Raffinesse oder Fachkenntnisse und lässt sich von jedem Nutzer mit der Kenntnis darüber spielend leicht ausnutzen.

Dabei wird es möglich, die Einstellungen des Mac App Stores zu ändern, so könnte ein Angreifer etwa einstellen, dass nicht nur Apps aus dem App Store installiert werden können, sondern auch jede andere Anwendung, etwa Malware.

Dazu müssen nur die Systemeinstellungen geöffnet werden. Wer im Bereich App Store auf das Schloss klickt, muss nur einen Benutzernamen eines Administratorkontos eintragen, häufig ist das der angemeldete Benutzer, sodann ein beliebiges Passwort ins Paswortfeld eintragen, schon lässt sich der Schutz der Einstellungen aufheben. – wir haben es ausprobiert, es funktioniert.

Lücke nur in High Sierra

Eine mögliche Gegenmaßnahme könnte es sein, nur mit einem Gast-Benutzer mit eingeschränkten Rechten angemeldet zu sein, sodass ein Angreifer in einem unbeobachteten Moment nicht sogleich den Benutzernamen eruieren kann.

Mac App Store in macOS High Sierra
Mac App Store in macOS High Sierra

Es scheint derzeit so, als ob nur macOS High Sierra von der Schwachstelle betroffen ist.
Frühere Versionen weisen das Problem demnach nicht auf.

Apple dürfte die Lücke relativ schnell mit einem Patch schließen. Erst im vergangenen Herbst zog sich Apple mit der Root-Lücke den Unmut zahlreicher Nutzer und Entwickler zu, damals sprach PR-Chef Phil Schiller lapidar von einer „schlechten Woche“.

Weitere Artikel

iPhone X verkauft sich in Schlüsselmärkten geradezu galaktisch

#apnp: macOS-Sicherheitslücke | Jimmy Iovine | Patente | FBI-Vorstellungen von Sicherheit | iPhone X – #apnp vom 10.01.2018

11 Gedanken zu „macOS erneut mit Lücke: App Store-Einstellungen lassen sich ohne gültiges Passwort ändern“

  3. Apple, langsam nervt es! Räumt mal eueren Stall auf oder lasst Köpfe rollen, denn irgendwo scheint jemand seinen Job nicht im Griff zu haben!
    • Na dann muss ja Apple nix patchen, wenn du das eh okay findest. Solltest ihnen auch gleich mailen, dass ihre Bugs gar nicht existent sind.
  5. Wenn die Kids den Adminzugang kennen, schnell die Kreditkarte sperren!! Oder Admin-Passwort ändern, aber das ist ja zu simpel. Drama!
  7. Der Artikel stimmt so nicht: 1. Man kann in macOS in aktuellen Versionen gar nicht einstellen, dass irgend welche Apps installiert werden können. Man kann lediglich von „App Store“ auf „App Store und verifizierte Entwickler“ wechseln, Dies tut man zu dem nicht in den App Store Einstellungen, sondern unterer „Systemeinstellungen -> Sicherheit -> Allgemein“. 2. Man konnte schon immer Admin-Konten ohne Passwort anlegen. Das ist keine Sicherheitslücke, sondern so gewollt. Damit lassen sich dann auch alle Einstellungen ohne Passwort ändern – einfach leer lassen. 3. Irgend ein Passwort in den Sicherheitseinstellungen eingeben und dann geht das Schloss auf funktioniert bei mir auf keinem unserer 4 Macs (10.13.2 – 10.13.3 Beta 4).
  8. Ich weiß immer garnicht was diese Aufregung soll. Grundregel ist doch beim Verlassen von jeglichen PCs, Gerät sperren, oder lasst ihr den Autoschlüssel im Auto immer stecken?
    • Du wirst es nicht glauben, aber angeblich hat man früher am Land sogar die Wohnungstüren unversperrt gelassen. War aber vor meiner Zeit in Ösistan.

Die Kommentare sind geschlossen.