![\"Behave](\"https:\/\/images.ifun.de\/wp-content\/uploads\/2019\/02\/behave-apple.jpg\")
<\/a><\/p>\nWie der deutsche Sicherheitsforscher Linus Henze jetzt demonstriert hat<\/a>, erm\u00f6glicht eine System-Schwachstelle, die auch unter macOS Mojave 10.14.3 noch vorhanden ist, den unautorisierten Zugriff auf die im Schl\u00fcsselbund abgelegten Kennw\u00f6rter. <\/p>\n Der Angriffsvektor liegt damit auf der Hand: Entsprechend vorbereitete Drittanwendungen k\u00f6nnten den gesamten Schl\u00fcsselbund-Inhalt auslesen und „nach Hause“ \u00fcbertragen, ohne daf\u00fcr auf das Administrator-Kennwort angewiesen zu sein. Eine relativ gravierende Schwachstelle, deren Details Henze offenbar erst dann an Apple durchreichen wird, wenn Cupertino das Auffinden von macOS-Sicherheitsl\u00fccken mit branchen\u00fcblichen Geld-Pr\u00e4mien belohnt, die im Rahmen eines Bug-Bounty-Programms ausgezahlt werden. <\/p>\n In this video, I’ll show you a 0day exploit that allows me to extract all your keychain passwords on macOS Mojave (and lower versions). Without root or administrator privileges and without password prompts of course. […] I won’t release this. The reason is simple: Apple still has no bug bounty program (for macOS), so blame them.<\/p><\/blockquote>\n Zwar bietet Apple seit 2016 ein eigenes Bug-Bounty-Programm an, zahlt jedoch vergleichsweise wenig<\/a> Kopfgeld und belohnt vornehmlich Hinweise auf iCloud-, Boot- und Chip-Schwachstellen<\/p>\n Ein \u00e4hnlicher System-Fehler wurde von dem Security-Experten Patrick Wardle<\/a> bereits im September 2017 entdeckt – ifun.de berichtet<\/a>. <\/p>\n