Sicherheitslücke: Apps können Passwörter in macOS auslesen
Apples Betriebssystem für den Mac weist nicht nur in der neusten Version eine fatale Sicherheitslücke auf. Bösartigen Apps ist es mit einer Schwachstelle möglich, Passwörter aus dem Keychain auszulesen wie Sicherheitsforscher Patrick Wardle herausgefunden hat. Betroffen sind mehrere Generationen, derzeit ist unklar ob Apple im Voraus informiert wurde.
Kurz vor dem großen Release von macOS High Sierra hat Sicherheitsforscher Patrick Wardle auf Twitter davor gewarnt, das Betriebssystem besitze eine große Sicherheitslücke. Unsignierte Programme können demzufolge auf den Keychain von macOS zugreifen und so sämtliche Passwörter aus der Passwortverwaltung auslesen. Das Problem dabei: Die Passwörter werden in Klartext zur Verfügung gestellt, weshalb Angreifer quasi auf jedes Passwort zugreifen könnten. Apps müssen von Entwicklern immer dann zertifiziert werden, wenn diese im App Store veröffentlicht werden. Bösartige Apps treten deshalb lediglich direkt im Internet auf, in der normalen Einstellung des Macs verhindert dieser jedoch die Ausführung von nicht zertifizierten Apps.
on High Sierra (unsigned) apps can programmatically dump & exfil keychain (w/ your plaintext passwords)??? vid: https://t.co/36M2TcLUAn #smh pic.twitter.com/pqtpjZsSnq
— patrick wardle (@patrickwardle) September 25, 2017
Nutzer müssen zum Starten von unsignierten Apps die Systemeinstellungen ändern beziehungsweise diese mit einem Rechtsklick öffnen, um diesen zu vertrauen. Wie Wardle nach der Veröffentlichung von macOS High Sierra am Abend weiter mitteilt, sei nicht nur das neuste Betriebssystem von Apple betroffen: Demnach leiden auch ältere Versionen unter der Schwachstelle. Der Sicherheitsforscher veröffentlicht keinen Quellcode von seiner Applikation, mir der er die Sicherheitslücke ausprobiert hat. Darüberhinaus ist unklar, ob Apple im Voraus über die Problematik informiert wurde und bereits an einer Behebung arbeitet.
Fest steht: Nutzer von macOS sollten verstärkt darauf achten, wenn Apps, die nicht direkt aus dem App Store stammen, ausgeführt werden sollen. Vor allem bei nicht zertifizierten Quellen sollte geklärt werden, ob der Anbieter vertrauenswürdig und der Einsatz der App zwingend erforderlich ist.
Schön, dass du da bist. Wir würden uns sehr freuen, wenn du uns als TechnikSurfer Leser deinen Freunden weiterempfehlen und uns auf den sozialen Netzwerken folgen würdest, damit du nichts mehr verpasst. Es lohnt sich - garantiert!
Ähnliche Artikel
Apple veröffentlicht macOS Catalina: Das ist neu, das solltet ihr wissen
Apple hat das nächste große Update von macOS veröffentlicht. macOS Catalina kann ab heute von kompatiblen Macs geladen und installiert werden.
iPad Pro mit Face ID und neue Macs? Apple lädt zur Oktober-Keynote
Apple lädt zum Oktober-Event nach New York. Fast sicher erwartet wird ein iPad Pro mit Face ID, doch auch modernisierte Macs wären möglich und überfällig.
WWDC 2018: Alle Neuerungen im Überblick
Jährlich grüßt die Entwicklerkonferenz WWDC von Apple. Wie im vergangenen Jahr auch findet das diesjährige Event in San Jose statt
