ifun.de — Apple News seit 2001. 39 055 Artikel

Private Daten nicht ausreichend geschützt

macOS Mojave: Sicherheitsforscher zeigt erste Schwachstelle

Artikel auf Mastodon teilen.
59 Kommentare 59

Macht euch schon mal auf ein zügiges erstes Update von macOS Mojave gefasst. Der renommierte Sicherheitsexperte Patrick Wardle hat den Tag der Freigabe von Apples neuer Betriebssystemversion gewählt, um auf eine nicht unbedeutende Sicherheitslücke aufmerksam zu machen.

Wardle zufolge lässt sich ausgerechnet die mit macOS Mojave von Apple verstärkte Schutzfunktion für private Daten austricksen. Der Sicherheitsfachmann zeigt in einem Video, wie sich diese umgehen lässt und er Zugriff auf persönliche Daten, im gezeigten Beispiel das Adressbuch des Nutzers, erhält.

Wardle zeigt auf, wie eine Anwendung ohne Admin-Rechte Zugriff auf Daten erlangt, die eigentlich vom System geschützt werden sollten. Dergleichen könnte auch einer entsprechend konfigurierten Malware-Anwendung gelingen.

Details zu seinen Erkenntnissen will der Sicherheitsexperte auf einer Konferenz im November veröffentlichen. Es ist davon auszugehen, dass Apple bereits deutlich früher mit einem fehlerbehebenden Update zur Stelle ist.

macOS 10.14 Mojave steht seit heute für alle Nutzer zum Download bereit. In unserem Bericht zur Freigabe des Updates listen wir auch die von Apple beworbenen Top-10-Funktion von macOS Mojave.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
24. Sep 2018 um 20:50 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    59 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Was ist das für ein Blödmann? Als Forscher hätte er doch im Rahmen des Betaprogramms Apple darauf hinweisen können. Da fällt mir wirklich nichts zu ein, so narzisstisch kann man doch wirklich nur als Wissenschaftler oder Politiker sein.

    • Hallo Stephan, vielleicht hat er es ja bereits im Betaprogramm gemeldet und ist verärgert, dass Apple nicht schnell genug reagiert hat.

      Ich setze einige seiner Apps ein und bin begeistert.

      • +1

        ein Lichtblick. Ein paar scheinen auch so etwas zu berücksichtigen, bevor sie auf den Sicherheitsforscher draufhauen.

    • Stephan, ganz einfache Frage an Dich:

      Wer ist blöder?:

      a) Derjenige, der den Fehler macht?

      oder

      b) Derjenige, der den Fehler sieht/rügt?

      Hinweis zur Beantwortung: nur ein Buchstabe ist richtig … … …

      Lösung: b)

      • Das steht ja außer Frage, dass behielt die richtige Antwort ist. Mag ja durchaus sein, dass er tatsächlich verärgert ist, das würde das ganze auch begründen. Dann hätte man aber auch einen Tag vorher warnen können, um installationswillige frühzeitig davon abzuhalten. Das kurz nach der Veröffentlichung zu tun, ist in der Tat C: Nicht minder blöd. Vielleicht wäre ja auch d richtig, die Leute, die immer noch glauben, Apple sei das heilige Unternehmen und fehlerlos.

    • Weißt du ob er Apple nicht seit Beta 1 darauf hingewiesen hat und nun nur das Video gepostet hat, weil Apple über Monate nicht reagiert hat?

    • Warum sollte er für Apple ehrenamtlich arbeiten und deren eigene Fehler aufzeigen? Tut Apple das für uns? Apple spart durch euch Beta-Tester bares und dreht die Preisschraube immer höher. Mittlerweile kann ich solche Aktionen sogar sehr gut verstehen. Das ist nämlich genau das was man sät. Vielleicht ist er ja auch nur ein frustrierte Apple Pro Nutzer?!

      • Als Sicherheitsexperte wird er sich wahrscheinlich nicht nur auf Apple fokussieren, sondern auf generelle Sicherheitsprobleme. Darauf frühzeitig hinzuweisen, bevor ein Schaden entsteht, sollte daher seinen Kodex sein. Mal ein kleiner vergleich zwischen Äpfel und Birnen: Umweltaktivisten könnten nach der Rodung des Hambacher Forstes Flugblätter verteilen, dass RWE dort Steinkohle abbaut. Machen Sie aber nicht, sondern sie errichten Baumhäuser im Wald, um das zu verhindern.

      • Da hast du wohl Recht.

    • Also meine mehrmals eingereichten macOS Bugs hat Apple auch nicht interessiert und jetzt nerven sie mich massiv auf der final Release version.

  • Toller Typ, er hätte auch einfach am Betatest teilnehmen können. Aber wenn man Aufmerksamkeit braucht,…widerlich.

    • Weißt du ob er Apple nicht seit Beta 1 darauf hingewiesen hat und nun nur das Video gepostet hat, weil Apple über Monate nicht reagiert hat?

      • Kannst du beweisen das er es gemacht hat?

      • Entweder die Schwachstelle ist so offensichtlich, dass es binnen weniger Stunden nach der Freigabe gestern um 19:00 gelingt diese aufzufinden. Das wäre ein Armutszeugnis für Apple.

        Oder er hat ganz einfach wie es die Hacker Ethik gebietet an der Beta teilgenommen, Apple im Rahmen des Bug Bunty informiert und rückt mit Details zum Angriff erst raus, wenn der Fehler längst gepatcht sein sollte.

      • lois
        ganz stark… beweis du mir das Gegenteil, dann Beweis ich dir vielleicht ob er es gemacht hat.

    • Kennst du ihn oder warum hast du hier so eine klare Meinung?

  • Einfach unnötig!

    Über sowas solltet ihr nicht berichten.
    Er hätte den Fehler doch früher melden können… aber nein lieber macht man es zum Release damit der eigene Name noch mal etwas populärer wird.

    • Klar…was glaubt ihr eigentlich auf welchem „WünschDirWas“-Planeten ihr lebt?!?
      Das ist doch bei weitem nicht der einzige Fehler im BS…nur es gibt zur Zeit (zum Glück) nur wenige Interessenten an Systemlücken…weil die kritische Nutzermenge noch nicht erreicht ist.

    • Lieber populär durch Fehlererkennung, denn populär durch Fehlererstellung, KemBal.

      Hätte Apple den Fehler nicht gemacht, hätte Herr Wardle damit nicht populär werden können, KemBal.

      Ganz einfach.

    • Weißt du ob er Apple nicht seit Beta 1 darauf hingewiesen hat und nun nur das Video gepostet hat, weil Apple über Monate nicht reagiert hat?

    • Warum sollte man hier nicht darüber berichten. Es hilft nicht, den Kopf in den Sand zu stecken.
      Ich bin nicht hier um Apple anzubeten, sondern weil ich Apple nutze. Ich werde jetzt auf das Update warten und dann erst installieren.
      Jeglicher öffentliche Druck sollte Apple auch anspornen, besser zu werden. Früher kam der Druck von Steve. Danke iFun, für die Information.

      • Damit diverse Fanboys in Ihrer Rosaroten Apple Welt bleiben können, welche ja angeblich sicherer sein soll als die Windows Welt.

  • Meistens werden solche Fehler auch direkt an die Hersteller gemeldet. Wenn diese nicht oder nicht rechtzeitig reagieren, DANN wird eben medialer Druck ausgeübt und der Fehler ist dann sehr schnell behoben.

  • Genau das war auch mein erster Gedanke! Der hat sicherlich genauso am Beta-Programm teilgenommen und hat den Fehler auch schon früher bemerkt und hätte ihn melden können ! Aber besser, man wartet auf den Final Release, dann kann man sich besser darstellen…

  • Klassisches Beispiel dafür, wie man sein eigenes ego über alles stellt. Der Pfosten hätte dieses auch ganz einfach via Feed-back während der Beta Phase an Apple mitteilen können. aber was soll, auf der Jagd nach Anerkennung…OMG

    • Weißt du ob er Apple nicht seit Beta 1 darauf hingewiesen hat und nun nur das Video gepostet hat, weil Apple über Monate nicht reagiert hat?

      • Es nervt langsam, weil du weißt es mit Sicherheit auch nicht… Falls ja, könnte man sich auch seriöser verkaufen und, noch mal, dass auch Video bemerken.

      • Auch wenn es dich nervt Stephan, es ist trotzdem so. Keiner von den die hier rum meckern wissen ob er es nicht gemeldet hat und Apple hat nicht reagiert und solange hier immer wieder solche Helden entsprechende Post verfassen, werde ich meine Antwort dazu rein kopieren.

  • Mal ne Frage. Wie läuft Mojave auf dem MacBook Air Mitte 2012???
    Und ich möchte ein Backup auf meine Time Capsule machen, ich hab aber da noch Fotos und Musik drauf. Werden die beim Backup gelöscht oder wird das Backup separat abgespeichert?

  • Was ist euer Problem? Er zeigt doch nicht wie es funktioniert?!
    Er demonstriert doch nur, dass es möglich ist, aber nicht wie!

    • Er weiß aber wie es funktioniert. Als Sicherheitsforscher sollte man auch ein konkretes Interesse an der Sicherheit haben und nicht so lange warten, bis alle die soft wär installiert haben und vom Problem betroffen sind. Stelle dir eine Kneipe vor und jemand weiß, dass in der Küche verdorbene Lebensmittel verarbeitet werden. Dieser jemand schreibt nun an die Tür: Achtung, hier kann dir schlecht werden. Das macht er aber nicht draußen, sondern an der Innenseite der Ausgangstür. Ich denke nicht, dass er Das Problem zufällig heute Mittag bemerkt hat. Es ist also aus meiner Sicht ein Anstandsproblem.

    • Matthias, wie naiv bist Du eigentlich, daß Du glaubst, daß Herr Wardle der Einzige ist, der so einen Fehler erkennen, und/oder demonstrieren/ausnutzen kann??

      Oder willst Du uns am Ende verarschen?

  • „Wardle zeigt auf, wie eine Anwendung ohne Admin-Rechte Zugriff auf Daten erlangt“ – Eben das wird m.E. nicht gezeigt. Das Terminal hat doch seine eigene Zugriffsberechtigung auf die Kontakte. Die App, die Wardle aufruft, kann doch vom Benutzer für den Zugriff auf die Kontakte freigegeben sein.

  • Humor hat er: Apple Bug Bounty Program – Not found! :-(

  • dieses gekotze von wegen nazistischer typ der aufmerksamkeit will. der typ hat ein fehler aufgezeigt , die apple hätte selbst finden sollen, haben die doch moneypower genug um sich gescheite leute leisten zu können. dann sorgt der typ dafür dass apple nachbessern muss, ohne ihn wäre das os unsicherer und zu guter letzt, wer seid IHR die über die uneigennütze arbeit eines mannes werten dürft von der ihr profitiert ihr kackspacken mit zuviel geld auf dem konto um sich appleprodukte leisten zu können. dankbarkeit ist angesagt und den fame hat er verdient wenn er einer firma wie apple ihre fehler aufzeigen kann, ich habe nicht die leiseste ahnung von coden und ihr sicher auch nicht. also backen halten, dankbar sein, leistung anerkennen und patch abwarten ihr bauern!

    • Das ist richtig niedlich, wenn Menschen sich in primitivster Form öffentlich Gebärden und genau die Dinge machen, die sie eigentlich kritisieren und das nicht einmal selbst merken. Wäre das als Satire zu verstehen, hätte man ja wenigstens Satzzeichen einbauen können. Aber für dich noch mal zum nachdenken, es geht gar nicht um die Tatsache selbst, auf Fehler hinzuweisen, sondern um das wann und wie.

  • Was für ein asoziales Verhalten, extra bis zum Release Tag mit so einem Video zu warten

  • Der Wardle, dieser sebst ernannte Experte, ist ein Wichtigtuer. Schon seit Jahren haut der immer wieder aufgeblasene pseudo Lücken raus.

  • Wie sich alle aufregen. Wieso sollte er Apple vorab, für ein nicht veroffentlichtes OS Bescheid geben? Es ist eben sein Job als Sicherheitsexperte. Und als solcher wird er seine Arbeit nicht verschenken.

  • Ihr habt doch alle nichts zu tun… allen voran Stephan…

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert