Schwachstelle in macOS bis High Sierra: Apps können alle Schlüsselbund-Passwörter klauen
Schad-Software kann den kompletten Inhalt des macOS-Schlüsselbundes extrahieren, darunter die Passwörter im Klartext, wie ein Sicherheitsforscher demonstriert. Die schwere Lücke lasse selbst unsignierte Apps an die sensiblen Nutzerdaten.
(Bild: Patrick Wardle)
- Leo Becker
In macOS bis hin zur frischen Version 10.13 High Sierra klafft eine schwere Lücke: Beliebige Software kann den kompletten Schlüsselbund des Nutzers heimlich auslesen – mitsamt allen dort gespeicherten Passwörtern im Klartext, wie der Sicherheitsforscher Patrick Wardle ausführt. Root-Rechte seien dafür nicht erforderlich, der Nutzer müsse lediglich eingeloggt sein, so Wardle – der Zugriff sei sowohl mit signierten als auch unsignierten Programmen möglich.
Voraussetzung für einen derartigen Angriff ist, dass man die Schad-Software auf den Mac lässt und diese öffnet. Der Schädling könne sich natürlich auch in einer legitimen Anwendung verbergen, merkt der Sicherheitsforscher an. Im Mai brachte beispielsweise der beliebte Video-Encoder Handbrake für kurze Zeit Malware auf Macs.
Der Schlüsselbund von macOS dient als zentraler Speicherort für Zugangsdaten. Nutzer können dort außerdem zusätzliche Daten in Notizen ablegen etwa PINs und Kreditkarteninformationen.
Schlüsselbund-Schwachstelle auch in älteren macOS-Versionen
Der "KeychainStealer" genannter Proof of Concept funktioniert sowohl in macOS 10.13 High Sierra als auch 10.12 Sierra. Möglicherweise sei auch 10.11 El Capitan betroffen, schreibt Wardle. Der Sicherheitsforscher hat die Lücke Anfang September an Apples Sicherheits-Team gemeldet. Behoben wurde diese bislang nicht, wie aus den gerade veröffentlichten Sicherheitsinformationen zu High Sierra hervorgeht – dort findet das Problem keine Erwähnung. Vermutlich wird Apple demnächst ein Sicherheits-Update für die betroffenen System nachliefern.
Wie sich Nutzer schützen können
Wie immer gilt: Nutzer sollten alle verfügbaren Sicherheits-Updates für macOS einspielen und nur Software aus vertrauenswürdigen Quellen einsetzen. Der Angriff setzt außerdem voraus, dass der Schlüsselbund entsperrt ist. Dies ist allerdings das Standardverhalten von macOS, beim Einloggen des Nutzers wird dieser automatisch geöffnet. Zum Schutz kann man für den Schlüsselbund ein eigenes, weiteres Passwort vergeben und diesen sperren solange er nicht benutzt wird – komfortabel ist dies allerdings nicht. (lbe)
