Schlüsselbund-Passwörter-Klau auf dem Mac: Sierra und El Capitan bleiben anfällig
Apple hat einen schwerwiegenden Fehler in der sogenannten Keychain nur in macOS High Sierra behoben. Der Entdecker will zunächst keinen Exploit publizieren – doch er wird kommen.
Demo-App, die den Keychain-Bug ausnutzt.
(Bild: Patrick Wardle)
Während Apple mit einem außer der Reihe erschienenen "Supplemental Update" ein gravierendes Sicherheitsproblem in seinem jüngsten Mac-Betriebssystem behoben hat, bleiben ältere Versionen ohne Schutz. Das bestätigte der Entdecker der Lücke, der amerikanische Sicherheitsexperte Patrick Wardle, gegenüber Mac & i. "Unglücklicherweise geht Apple beim Beheben von Fehlern häufig so vor – die jüngste Version des Betriebssystems ist die einzige Version, die einen Patch erhält. Ich bin mir nicht sicher, ob Apple beabsichtigt, ältere Versionen später zu patchen."
Schlüsselbund ließ sich mit Passwörtern auslesen
Eine Schwachstelle, die in macOS High Sierra 10.13 sowie mindestens macOS Sierra und El Capitan steckt, macht es beliebigen Apps möglich, den kompletten Schlüsselbund des Nutzers heimlich auszulesen – mitsamt allen dort gespeicherten Passwörtern im Klartext. Viele Anwendungen und Apples Systemprogramme sichern darin wichtige Angaben inklusive der Apple-ID-Informationen.
Wardle lobte Apple dafür, dass der Konzern so schnell ein ergänzendes Update für macOS High Sierra herausbrachte. "Ich denke, länger zu warten, um das dann in einem größeren Sicherheitsupdate zu kombinieren, wäre ein Fehler gewesen." Das "Supplemental Update" hatte auch noch eine peinliche Lücke in der Verschlüsselung von APFS-Volumes gestopft. Dabei wurden Passwörter plötzlich im Klartext angezeigt.
Dass Apple das Update zunächst nur für High Sierra herausbrachte, liegt Wardle zufolge auch daran, dass Apple die Leute dazu bringen will, die jeweils neueste macOS-Version zu verwenden. "In der Realität machen das aber viele Leute nicht, was sie angreifbar für trivial ausnutzbare Fehler macht." Das sei zwar nicht grundsätzlich Apples Schuld – die Nutzer sollten stets aus Sicherheitsgründen die jüngste Version nutzen – "doch in einer idealen Welt würde Apple auch ältere Versionen seines Betriebssystem absichern – zumindest einige Versionen zurück."
Apple patcht ältere Systeme nur inkonsistent
Tatsächlich bringt der Konzern regelmäßig auch sicherheitsrelevante Patches für ältere macOS-Varianten heraus – allerdings leider nicht konsistent. So kam etwa zum Erscheinen von macOS High Sierra kein zusätzliches Patchpaket für Sierra und El Capitan heraus. Im Beipackzettel zu den sicherheitsrelevanten Fixes hieß es lapidar, dass die Fehlerbehebungen nur für High Sierra bereitstünden.
Wardle selbst will zunächst keinen Exploit für die Schlüsselbundlücke veröffentlichen. Aktuell versucht er, mit Apple in Kontakt zu treten, um zu erfahren, ob Sierra und El Capitan vielleicht doch noch ein Update erhalten. "Vielleicht hauen sie die Fixes ja in ein 'Servicepack' namens 10.12.7?" Er wolle Nutzern zudem mehr Zeit lassen, ihr System auf High Sierra umzustellen.
Ganz unproblematisch ist das nicht: Es gibt nach wie vor inkompatible Apps und andere Probleme. Nähere Details und Proof-of-Concept-Code zur Schlüsselbundlücke werde er aber höchstwahrscheinlich "später" veröffentlichen, sagte Wardle. "Das ist ja das Spaßige an der Sache." (bsc)
