macOS erneut mit Lücke: App Store-Einstellungen lassen sich ohne gültiges Passwort ändern

Zum Abend noch eine erfrischende Sicherheitslücke: macOS erlaubt es in der aktuellen Version, die Einstellungen des App Stores ohne Passwort zu ändern. Das kann absolut jeder in weniger als einer Minute bewerkstelligen, wenn ein Administrator angemeldet ist.

macOS ist abermals von einer ungemütlichen Sicherheitslücke betroffen. Sie wurde unlängst von einigen Experten entdeckt, wohl eher durch Zufall, denn sie erfordert keinerlei Raffinesse oder Fachkenntnisse und lässt sich von jedem Nutzer mit der Kenntnis darüber spielend leicht ausnutzen.

Dabei wird es möglich, die Einstellungen des Mac App Stores zu ändern, so könnte ein Angreifer etwa einstellen, dass nicht nur Apps aus dem App Store installiert werden können, sondern auch jede andere Anwendung, etwa Malware.

Dazu müssen nur die Systemeinstellungen geöffnet werden. Wer im Bereich App Store auf das Schloss klickt, muss nur einen Benutzernamen eines Administratorkontos eintragen, häufig ist das der angemeldete Benutzer, sodann ein beliebiges Passwort ins Paswortfeld eintragen, schon lässt sich der Schutz der Einstellungen aufheben. – wir haben es ausprobiert, es funktioniert.

Lücke nur in High Sierra

Eine mögliche Gegenmaßnahme könnte es sein, nur mit einem Gast-Benutzer mit eingeschränkten Rechten angemeldet zu sein, sodass ein Angreifer in einem unbeobachteten Moment nicht sogleich den Benutzernamen eruieren kann.

Mac App Store in macOS High Sierra

Mac App Store in macOS High Sierra

Es scheint derzeit so, als ob nur macOS High Sierra von der Schwachstelle betroffen ist.
Frühere Versionen weisen das Problem demnach nicht auf.

Apple dürfte die Lücke relativ schnell mit einem Patch schließen. Erst im vergangenen Herbst zog sich Apple mit der Root-Lücke den Unmut zahlreicher Nutzer und Entwickler zu, damals sprach PR-Chef Phil Schiller lapidar von einer „schlechten Woche“.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Oder willst du mit Gleichgesinnten über die neuesten Produkte diskutieren? Dann besuch unser Forum!

Gefällt Dir der Artikel?

Roman van Genabith
twitter Google app.net mail

11 Kommentare zu dem Artikel "macOS erneut mit Lücke: App Store-Einstellungen lassen sich ohne gültiges Passwort ändern"

  1. Halb&Halb 10. Januar 2018 um 21:04 Uhr ·
    Bei mir auch ein beliebiges Passwort eingegeben -> Schloss auf 😤
    iLike 0
  2. Wessalius 10. Januar 2018 um 21:30 Uhr ·
    Ich hab es gerade ausprobiert, aber das Schloss ist nicht aufgegangen.
    iLike 0
    • Wessalius 10. Januar 2018 um 22:02 Uhr ·
      Ich korrigiere meine Aussage und bestätige den Fehler.
      iLike 0
  3. Mrco 10. Januar 2018 um 21:31 Uhr ·
    Apple, langsam nervt es! Räumt mal eueren Stall auf oder lasst Köpfe rollen, denn irgendwo scheint jemand seinen Job nicht im Griff zu haben!
    iLike 3
  4. neo70 10. Januar 2018 um 22:49 Uhr ·
    Der Angreifer muss also als Admin angemeldet sein. Ok das sagt alles und ich habe jetzt große Angst
    iLike 3
    • Peter 10. Januar 2018 um 23:12 Uhr ·
      Na dann muss ja Apple nix patchen, wenn du das eh okay findest. Solltest ihnen auch gleich mailen, dass ihre Bugs gar nicht existent sind.
      iLike 3
  5. Ingo B. 10. Januar 2018 um 23:12 Uhr ·
    Wenn die Kids den Adminzugang kennen, schnell die Kreditkarte sperren!! Oder Admin-Passwort ändern, aber das ist ja zu simpel. Drama!
    iLike 1
  6. bmbsbr 10. Januar 2018 um 23:32 Uhr ·
    Apple empfiehlt seit jeher als Standard einen Benutzer ohne Adminrechte zu verwenden.
    iLike 0
  7. Steffen 11. Januar 2018 um 06:33 Uhr ·
    Der Artikel stimmt so nicht: 1. Man kann in macOS in aktuellen Versionen gar nicht einstellen, dass irgend welche Apps installiert werden können. Man kann lediglich von „App Store“ auf „App Store und verifizierte Entwickler“ wechseln, Dies tut man zu dem nicht in den App Store Einstellungen, sondern unterer „Systemeinstellungen -> Sicherheit -> Allgemein“. 2. Man konnte schon immer Admin-Konten ohne Passwort anlegen. Das ist keine Sicherheitslücke, sondern so gewollt. Damit lassen sich dann auch alle Einstellungen ohne Passwort ändern – einfach leer lassen. 3. Irgend ein Passwort in den Sicherheitseinstellungen eingeben und dann geht das Schloss auf funktioniert bei mir auf keinem unserer 4 Macs (10.13.2 – 10.13.3 Beta 4).
    iLike 4
  8. Micha65 11. Januar 2018 um 06:46 Uhr ·
    Ich weiß immer garnicht was diese Aufregung soll. Grundregel ist doch beim Verlassen von jeglichen PCs, Gerät sperren, oder lasst ihr den Autoschlüssel im Auto immer stecken?
    iLike 6
    • Peter 11. Januar 2018 um 08:41 Uhr ·
      Du wirst es nicht glauben, aber angeblich hat man früher am Land sogar die Wohnungstüren unversperrt gelassen. War aber vor meiner Zeit in Ösistan.
      iLike 2

Leider kann man keine Kommentare zu diesem Beitrag mehr schreiben.