macOS-Schlüsselbund unsicher: Deutscher Sicherheitsforscher will sein Wissen für sich behalten

Sicherheit - Symbolbild

In macOS steckt ein gravierendes Sicherheitsproblem: Passwörter aus dem Schlüsselbund lassen sich auslesen und dazu bedarf es anscheinend nur einer App, die der Entdecker der Schwachstelle kreiert hat. Veröffentlichen will er sie zwar nicht, Apple überlassen mag er sie aber auch nicht.

Apples macOS ist offenbar abermals von einer gravierenden Sicherheitslücke betroffen. Sie steckt im Schlüsselbund, dem Passwortmanager Apples, der alle Logindaten von Nutzern auf Wunsch in der iCloud speichert und auf allen Geräten verfügbar ist. Wie der deutsche Sicherheitsforscher Linus Henze demonstriert hat, ist es möglich, auf den Klartext der Passwörter zuzugreifen, so wie sie in der Datenbank des Schlüsselbunds auf dem Mac gespeichert sind.

Das ist etwa mit einer von ihm hierfür entwickelten App möglich, wie er demonstriert hat.

Entdecker möchte Apple nicht unterrichten

Immerhin besitzt Henze genügend Verantwortungsbewusstsein, den Code hinter seinem Angriff nicht öffentlich zu machen. Er möchte aber auch Apple nicht über die Ergebnisse seiner Arbeit unterrichten. Grund dafür ist, dass Apple hierfür in der Regel nichts springen lässt. Nur an ausgewählte und zuvor explizit eingeladene Sicherheitsforscher schüttet Apple Geld aus und auch nur, wenn sie dramatische Sicherheitslücken entdecken, etwa im Kern von iOS.

Wie der Bug nun beseitigt wird, bleibt abzuwarten. Es heißt, alle macOS-Versionen bis einschließlich zur aktuellen macOS 10.14.3-Version seien für die Schwäche anfällig. Ob sie in der aktuellen Beta von macOS 10.14.4 bereits beseitigt ist, ist ungewiss. Lücken im Schlüsselbund auf dem Mac hatte es früher schon wiederholt gegeben. Sie waren aber – wenn auch teils nach geraumer Zeit – von Apple geschlossen worden.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Oder willst du mit Gleichgesinnten über die neuesten Produkte diskutieren? Dann besuch unser Forum!

Gefällt Dir der Artikel?

Roman van Genabith
twitter Google app.net mail

10 Kommentare zu dem Artikel "macOS-Schlüsselbund unsicher: Deutscher Sicherheitsforscher will sein Wissen für sich behalten"

  1. Idee zum Gelddrucken.. 5. Februar 2019 um 18:40 Uhr ·
    Aber ich hab sie doch zuerst entdeckt …. Ist kein Beweis, wenn er selbst auf seinen Mac einen Zugriff hatte. Alle Versionen wird auch nicht bewiesen. KlickBate
    iLike 1
  2. Oldschool 5. Februar 2019 um 18:52 Uhr ·
    Vor 4Stunden und 40 Minuten habt ihr noch geschrieben, dass der Teenager aus den USA etwas bekommt, vermutlich Geld. America first oder was?
    iLike 0
    • Roman van Genabith 5. Februar 2019 um 18:56 Uhr ·
      Interessant tatsächlich, dieser Kontext. Im Ersteren Fall muss Apple hier versuchen, einen weiteren Schaden am image zu vermeiden und eine gewisse Großzügigkeit zeigen, die undankbare Wahrheit ist, harte Arbeit von Sicherheitsexperten honoriert Apple nicht so richtig, zumal es hier zwar eine gravierende Sicherheitslücke in macOS ist, die allerdings wenig für die große Öffentlichkeit taugt. Sie ist relativ technisch. Bei FaceTime war das ganze sogar in den Hauptnachrichten, da fällt die Reaktion natürlich anders aus.
      iLike 3
      • Oldschool 6. Februar 2019 um 15:21 Uhr ·
        Aber das Problem mit dem Schlüsselbund ist doch fast noch gravierender… Für mich ist der Passwortmanager jedenfalls wichtiger als FaceTime Gruppenanrufe, so im täglichen Betrieb mit MBP und iPhone.
        iLike 1
      • Roman van Genabith 6. Februar 2019 um 15:34 Uhr ·
        Sehe ich genauso wie du, ich fürchte nur, die Sache mit FaceTime ist irgendwie populärer. Die Lücke im Schlüsselbund, das ist wahrscheinlich den meisten gar nicht bewusst, welches Potenzial die hat.
        iLike 0
    • Tom 5. Februar 2019 um 19:22 Uhr ·
      Und unterscheidet Apple bei ihrem BugBounty Programm nicht auch zwischen macOS und iOS?
      iLike 0
  3. neo70 5. Februar 2019 um 20:31 Uhr ·
    Ich kann über das Wasser gehen. Wie ich es mache sage ich nicht und zeigen werde ich es auch nicht. Ich kann es aber, ganz ehrlich!!!
    iLike 4
    • Kevin 5. Februar 2019 um 20:51 Uhr ·
      😂geil, einfach nur geil💪😂
      iLike 0
    • Drakenstorm 6. Februar 2019 um 09:23 Uhr ·
      Nehmen wir mal an, dass er es wirklich kann (nicht über das Wasser gehen), dann verstehe ich im Zusammenhang mit den Post hier schon seine Reaktion. Es ist nur fair, wenn Apple auch hier zahlt. Selbst das Finden einer Geldbörse ist ja keine besondere Leistung, wird aber doch durch eine Art Finder“lohn“ honoriert.
      iLike 0
  4. MacGenie 7. Februar 2019 um 06:47 Uhr ·
    Das Video taugt überhaupt nicht als Beweis. Natürlich kann man — wie auch in der Schlüsselbund App selbst — die eigenen Passwörter entschlüsseln, wenn die App möglicherweise das Passwort gespeichert hat. Interessant wäre das ganze nur, wenn ich den Schlüsselbund eines anderen Accounts auf dem Rechner entschlüsseln kann, OHNE dessen Log-In-Passwort zu kennen.
    iLike 0

Leider kann man keine Kommentare zu diesem Beitrag mehr schreiben.