Kritische Lücke im Mac-Schlüsselbund: Wie sich Nutzer schützen können
Ein Sicherheitsforscher hat Details zu einer Schwachstelle genannt, die macOS-Apps angeblich ungehinderten Zugriff auf Passwörter einräumt.
(Bild: dpa, Karl-Josef Hildenbrand/Archiv)
Der zentrale Schlüsselbund von macOS weist nach Angabe eines Sicherheitsforschers eine kritische Lücke auf: Sie ermögliche einer manipulierten App das Auslesen der dort gespeicherten Zugangsdaten – bis hin zu macOS Mojave in aktueller Version 10.14.3. Das Problem betreffe nicht nur den standardmäßig angelegten Schlüsselbund "Anmeldung", sondern auch den Schlüsselbund "System" sowie alle anderen vom Nutzer angelegten Keychains, wie der Sicherheitsforscher Linus Henze gegenüber Mac & i auf Nachfrage erklärte.
Eine manipulierte Mac-App könne dabei nicht nur auf die Zugangsdaten mitsamt der Passwörter zugreifen, sondern auch weitere in der Schlüsselbundverwaltung vermeintlich geschützte Informationen abgreifen – darunter etwa auch die "sicheren Notizen", wie Henze betonte. Nur auf die Daten des iCloud-Schlüsselbundes, der nach Aktivierung der Funktion durch den Nutzer ebenfalls in der Mac-Schlüsselbundverwaltung auftaucht, lasse sich auf diesem Wege nicht zugreifen, da dieser anders funktioniere.
Workaround zum Schutz des Mac-Schlüsselbundes
Der Angriff auf die sensiblen Daten setzt voraus, dass der Schlüsselbund entsperrt ist: Das ist bei der Keychain "Anmeldung" standardmäßig der Fall, sobald der Anwender sich angemeldet hat. Nutzer können ihre Schlüsselbunde als Schutzmaßnahme von Hand sperren, um ein Auslesen von Daten unmöglich zu machen – müssen sich dann aber auf ständige Nachfragen und die erneute Eingabe des Zugangskennwortes respektive Schlüsselbund-Kennwortes einstellen, sobald Apps und Systemdienste (berechtigt) auf bestimmte Zugangsdaten zurückgreifen wollen.
Alternativ lässt sich auch ein bestimmter Zeitraum festlegen, um einen Schlüsselbund nach Inaktivität automatisch zu sperren. Einblicke in den Schlüsselbund System, der unter anderem WLAN-Zugangsdaten enthält, seien aber immer möglich, so Henze.
Bug Bounty für Mac-Schwachstellen gefordert
Der Sicherheitsforscher hat den Bug bislang nicht an Apple gemeldet, aber auch keinen Exploit veröffentlicht. Er wolle die Lücke auch nicht an Dritte verkaufen, um einen Missbrauch auszuschließen, betonte Henze gegenüber Mac & i. Er hoffe, dass andere Entwickler Schwachstellen in macOS publik machen, ohne Apple vorab über diese zu informieren: Dies solle den Konzern unter Druck setzen, sein System besser abzusichern und für gemeldete Schwachstellen (wie unter iOS) zu bezahlen. Apple honoriere die Arbeit von Sicherheitsforschern nur durch eine Namensnennung und spare dadurch eine Menge Geld, erklärt Henze – das sei "schon traurig" für eines der reichsten Unternehmen.
Von Apple liegt bislang keine Stellungnahme vor, entsprechend bleibt offen, ob der Betriebssystem-Hersteller bereits an einem Sicherheits-Update arbeitet. (lbe)
