ifun.de — Apple News seit 2001. 36 023 Artikel

Hacker zeigt Demo-Angriff

Schwachstelle im Video: macOS-Schlüsselbund gibt Passwörter preis

Artikel auf Mastodon teilen.
54 Kommentare 54

Auf dem Mac gesicherter Passwörter, also etwa WLAN-Zugangsdaten, App-Kennwörter und Online-Accounts, werden von Apples Desktop-Betriebssystem für gewöhnlich verschlüsselt im macOS-Schlüsselbund abgelegt und lassen sich anschließend nur von Systemadministratoren und stets erst nach störrischer Passwort-Abfrage einsehen. So zumindest die Theorie.

Behave Apple

Wie der deutsche Sicherheitsforscher Linus Henze jetzt demonstriert hat, ermöglicht eine System-Schwachstelle, die auch unter macOS Mojave 10.14.3 noch vorhanden ist, den unautorisierten Zugriff auf die im Schlüsselbund abgelegten Kennwörter.

Der Angriffsvektor liegt damit auf der Hand: Entsprechend vorbereitete Drittanwendungen könnten den gesamten Schlüsselbund-Inhalt auslesen und „nach Hause“ übertragen, ohne dafür auf das Administrator-Kennwort angewiesen zu sein. Eine relativ gravierende Schwachstelle, deren Details Henze offenbar erst dann an Apple durchreichen wird, wenn Cupertino das Auffinden von macOS-Sicherheitslücken mit branchenüblichen Geld-Prämien belohnt, die im Rahmen eines Bug-Bounty-Programms ausgezahlt werden.

In this video, I’ll show you a 0day exploit that allows me to extract all your keychain passwords on macOS Mojave (and lower versions). Without root or administrator privileges and without password prompts of course. […] I won’t release this. The reason is simple: Apple still has no bug bounty program (for macOS), so blame them.

Zwar bietet Apple seit 2016 ein eigenes Bug-Bounty-Programm an, zahlt jedoch vergleichsweise wenig Kopfgeld und belohnt vornehmlich Hinweise auf iCloud-, Boot- und Chip-Schwachstellen

Ein ähnlicher System-Fehler wurde von dem Security-Experten Patrick Wardle bereits im September 2017 entdeckt – ifun.de berichtet.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
05. Feb 2019 um 16:35 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    54 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    54 Comments
    Älteste Kommentare
    Neuste Kommentare Meiste Stimmen
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 36023 Artikel in den vergangenen 7889 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2023 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven