• IT-Karriere:
  • Services:

MacOS High Sierra: MacOS-Keychain kann per App ausgelesen werden

Der Sicherheitsforscher Patrick Wardle hat demonstriert, dass Apples Keychain unter MacOS mit einer App komplett ausgelesen werden kann. Diese muss aber zunächst an Apples Gatekeeper vorbei.

Artikel veröffentlicht am ,
Ein Sicherheitsforscher hat ein Problem in MacOS identifiziert.
Ein Sicherheitsforscher hat ein Problem in MacOS identifiziert. (Bild: Giuseppe Cacace/Getty Images)

Der Hacker Patrick Wardle hat nach eigenen Angaben eine Sicherheitslücke in der aktuellen Version von Apples Desktop-Betriebssystem High Sierra gefunden, die es bösartigen Applikationen ermöglicht, Passwörter aus Apples Keychain auszulesen. Normalerweise müssen Nutzer einzelne Passwörter durch Eingabe eines Master-Passworts freigeben.

Stellenmarkt
  1. GK Software SE, Berlin, Jena, Schöneck/Vogtland, Sankt Ingbert
  2. DEKRA SE, Stuttgart

Wardles Angriff hat einige Voraussetzungen: So müssen Nutzer dazu gebracht werden, eine unsignierte Applikation auszuführen. Apples Gatekeeper warnt davor, per Social Engineering könnte ein solcher Angriff aber trotzdem gelingen. Auch eine vorab installierte Malware könne als erste Stufe des Angriffs dienen, sagt Wardle.

Steal y0 (macOS) Keychain from patrick wardle on Vimeo.

Wardle gibt an, dass man seinen Schadcode auch in einer anderen, legitimen App verstecken könnte, um ihn Nutzern unterzuschieben. Neben der aktuellen MacOS-Version sollen auch frühere Versionen für den Angriff verwundbar sein.

Passwörter ohne Administratorrechte auslesen

Der Sicherheitsforscher sagte Forbes: "Ohne Root-Berechtigung kann ich, wenn der Nutzer eingeloggt ist, die Inhalte der Keychain kopieren und auslesen, inklusive der Passwörter im Plaintext." Das solle grundsätzlich nicht möglich sein.

Apple hat bislang keinen Patch veröffentlicht und bislang auch kein Datum für einen solchen angekündigt. Dem Magazin ZDnet sagte das Unternehmen: "MacOS ist so designt, dass es in der Standardeinstellung sicher ist und Gatekeeper warnt vor der Installation unsignierter Apps, wie sie in diesem Proof of Concept gezeigt wurde. Außerdem können entsprechende Apps nicht ohne explizite Zustimmung der Nutzer ausgeführt werden." Nutzer sollten Software daher nur aus "vertrauten Quellen" wie dem Mac App Store herunterladen.

Wardle forderte Apple außerdem auf, ein umfangreiches Bug-Bounty-Programm zu starten. Bislang können sich Sicherheitsforscher zwar an Apple wenden, der Kreis der Sicherheitsforscher, die für Sicherheitslücken belohnt werden, ist aber sehr klein und von Apple ausgewählt. Außerdem ist bislang nur iOS Teil des Programms. Angesichts der hohen Preise, die für Zero-Days gerade in iOS erzielt werden können, sollte Apple darüber nachdenken, den Kreis zu erweitern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • ohne Tracking
  • mit ausgeschaltetem Javascript


Anzeige
Spiele-Angebote
  1. 53,99€
  2. 2,99€
  3. 4,26€
  4. 3,24€

s10 28. Sep 2017

Ich weiß, dass es einige Leute gibt, die so denken. Und ich kenne auch die teilweise...

My1 27. Sep 2017

das ganze ergibt für mich aktuell keinen sinn. wenn es ein Master passwort gibt dass bei...


Folgen Sie uns
       


iOS 13 ausprobiert

Apple hat iOS 13 offiziell vorgestellt. Die neue Version des mobilen Betriebssystems bringt unter anderem den Dark Mode sowie zahlreiche Verbesserungen einzelner Apps.

iOS 13 ausprobiert Video aufrufen
Frauen in der IT: Ist Logik von Natur aus Männersache?
Frauen in der IT
Ist Logik von Natur aus Männersache?

Wenn es um die Frage geht, warum es immer noch so wenig Frauen in der IT gibt, kommt früher oder später das Argument, dass Frauen nicht eben zur Logik veranlagt seien. Kann die niedrige Zahl von Frauen in dieser Branche tatsächlich mit der Biologie erklärt werden?
Von Valerie Lux

  1. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  2. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen
  3. IT-Freelancer Paradiesische Zustände

Apple TV+ im Test: Apple-Kunden müssen auf jeden Streaming-Komfort verzichten
Apple TV+ im Test
Apple-Kunden müssen auf jeden Streaming-Komfort verzichten

Apple ist mit Apple TV+ gestartet. Wir haben das Streamingabo ausprobiert und waren entsetzt, wie rückständig alles umgesetzt ist. Der Kunde von Apple TV+ muss auf sehr viele Komfortfunktionen verzichten, die bei der Konkurrenz seit langem üblich sind.
Ein Test von Ingo Pakalski

  1. Apple TV+ Disney-Chef tritt aus Apple-Verwaltungsrat zurück
  2. Apple TV+ Apples Videostreamingdienst ist nicht konkurrenzfähig
  3. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

    •  /