Abo
  • Services:
Anzeige
Ein Sicherheitsforscher hat ein Problem in MacOS identifiziert.
Ein Sicherheitsforscher hat ein Problem in MacOS identifiziert. (Bild: Giuseppe Cacace/Getty Images)

MacOS High Sierra: MacOS-Keychain kann per App ausgelesen werden

Ein Sicherheitsforscher hat ein Problem in MacOS identifiziert.
Ein Sicherheitsforscher hat ein Problem in MacOS identifiziert. (Bild: Giuseppe Cacace/Getty Images)

Der Sicherheitsforscher Patrick Wardle hat demonstriert, dass Apples Keychain unter MacOS mit einer App komplett ausgelesen werden kann. Diese muss aber zunächst an Apples Gatekeeper vorbei.

Der Hacker Patrick Wardle hat nach eigenen Angaben eine Sicherheitslücke in der aktuellen Version von Apples Desktop-Betriebssystem High Sierra gefunden, die es bösartigen Applikationen ermöglicht, Passwörter aus Apples Keychain auszulesen. Normalerweise müssen Nutzer einzelne Passwörter durch Eingabe eines Master-Passworts freigeben.

Anzeige

Wardles Angriff hat einige Voraussetzungen: So müssen Nutzer dazu gebracht werden, eine unsignierte Applikation auszuführen. Apples Gatekeeper warnt davor, per Social Engineering könnte ein solcher Angriff aber trotzdem gelingen. Auch eine vorab installierte Malware könne als erste Stufe des Angriffs dienen, sagt Wardle.

Steal y0 (macOS) Keychain from patrick wardle on Vimeo.

Wardle gibt an, dass man seinen Schadcode auch in einer anderen, legitimen App verstecken könnte, um ihn Nutzern unterzuschieben. Neben der aktuellen MacOS-Version sollen auch frühere Versionen für den Angriff verwundbar sein.

Passwörter ohne Administratorrechte auslesen

Der Sicherheitsforscher sagte Forbes: "Ohne Root-Berechtigung kann ich, wenn der Nutzer eingeloggt ist, die Inhalte der Keychain kopieren und auslesen, inklusive der Passwörter im Plaintext." Das solle grundsätzlich nicht möglich sein.

Apple hat bislang keinen Patch veröffentlicht und bislang auch kein Datum für einen solchen angekündigt. Dem Magazin ZDnet sagte das Unternehmen: "MacOS ist so designt, dass es in der Standardeinstellung sicher ist und Gatekeeper warnt vor der Installation unsignierter Apps, wie sie in diesem Proof of Concept gezeigt wurde. Außerdem können entsprechende Apps nicht ohne explizite Zustimmung der Nutzer ausgeführt werden." Nutzer sollten Software daher nur aus "vertrauten Quellen" wie dem Mac App Store herunterladen.

Wardle forderte Apple außerdem auf, ein umfangreiches Bug-Bounty-Programm zu starten. Bislang können sich Sicherheitsforscher zwar an Apple wenden, der Kreis der Sicherheitsforscher, die für Sicherheitslücken belohnt werden, ist aber sehr klein und von Apple ausgewählt. Außerdem ist bislang nur iOS Teil des Programms. Angesichts der hohen Preise, die für Zero-Days gerade in iOS erzielt werden können, sollte Apple darüber nachdenken, den Kreis zu erweitern.


eye home zur Startseite
s10 28. Sep 2017

Ich weiß, dass es einige Leute gibt, die so denken. Und ich kenne auch die teilweise...

My1 27. Sep 2017

das ganze ergibt für mich aktuell keinen sinn. wenn es ein Master passwort gibt dass bei...



Anzeige

Stellenmarkt
  1. Interhyp Gruppe, München
  2. SYNLAB Holding Deutschland GmbH, Augsburg
  3. BIOSCIENTIA Institut für Medizinische Diagnostik GmbH, Ingelheim
  4. Saacke GmbH, Bremen


Anzeige
Hardware-Angebote
  1. 849,00€ (UVP € 1.298,99€)

Folgen Sie uns
       


  1. Star Wars - Die letzten Jedi

    Viel Luke und zu viel Unfug

  2. 3D NAND

    Samsung investiert doppelt so viel in die Halbleitersparte

  3. IT-Sicherheit

    Neue Onlinehilfe für Anfänger

  4. Death Stranding

    Kojima erklärt Nahtodelemente und Zeitregen

  5. ROBOT-Angriff

    19 Jahre alter Angriff auf TLS funktioniert immer noch

  6. Bielefeld

    Stadtwerke beginnen flächendeckendes FTTB-Angebot

  7. Airspeeder

    Alauda plant Hoverbike-Rennen

  8. DisplayHDR 1.0

    Vesa definiert HDR-Standard für Displays

  9. Radeon-Software-Adrenalin-Edition

    Grafikkartenzugriff mit Smartphone-App

  10. Datentransfer in USA

    EU-Datenschützer fordern Nachbesserungen beim Privacy Shield



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor
  2. LEVC London bekommt Elektrotaxis mit Range Extender
  3. Vehicle-to-Grid Honda macht Elektroautos zu Stromnetz-Puffern

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

  1. Re: Die Blase wird platzen

    AllDayPiano | 21:19

  2. Re: J.J. Abrams und seine Liebe zur Mystery-Box ...

    grumbazor | 21:19

  3. Re: Kfz-Steuer

    AllDayPiano | 21:18

  4. Re: Golem Was soll das? Überschrift geht ja garnicht

    grumbazor | 21:17

  5. Die EU sollte die Hersteller dazu verdonnern, das...

    Konstantin/t1000 | 21:15


  1. 18:40

  2. 17:11

  3. 16:58

  4. 16:37

  5. 16:15

  6. 16:12

  7. 16:01

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel