🔓 Sandboxed Mac apps can record your entire screen at any time, without you knowing.
— Felix Krause (@KrauseFx) 10. Februar 2018
Running the screen through simple OCR software, this allows the attacker to access personal information, like emails, messages, API keys and morehttps://t.co/eHMoYzgt0x pic.twitter.com/MM7eQJOcUx
Apple ist informiert
Apple wurde bereits von Felix Krause über das Problem informiert. Eine Reaktion gab es noch nicht. Zudem hat Krause in seinem Blog ein Proof of Concept veröffentlicht und dabei erläutert, wie einfach die Screenshot-Funktion ohne Wissen des Nutzers verwendet werden kann, um ihn auszuspionieren.Weitere Szenarien nach Krause:
- Lesen von Kennwort und Schlüsseln aus Passwort-Managern
- Lesen aller E-Mails und Nachrichten, die auf dem Mac geöffnet werden
- Einblick in sensiblen Quellcode, API-Schlüssel oder ähnliche Daten
- Einblick in persönliche Informationen über den Benutzer, wie z.B. Bankverbindung, Gehalt, Adresse, etc.
Datenschutz-Richtlinien
Apple habe hierbei den Fehler gemacht, die Aufzeichnung des Bildschirms einfach ohne eine vorherige explizite Zustimmung des Nutzers zu ermöglichen. Schon mit dem Blick auf die Datenschutz-Richtlinien ist das ein klarer Fehler, doch er könnte sich für die Nutzer böse auswirken.Dabei würde es schon helfen, wenn der Anwender in dem Moment, in dem eine App eine Bildschirmaufzeichnung starten will, auch gleich vom System darüber informiert wird. Bei anderen Bereichen, wie der Anfrage nach Verwendung der Geo-Daten, ist Apple da wesentlich vorbildlicher und informiert den Nutzer durchgehend. Für den Nutzer gibt es im Grunde aktuell keine Möglichkeit, sich davor zu schützen.
Es ist derzeit nicht bekannt, ob Unbefugte die Schwachstelle bereits ausnutzen.
Siehe auch:
2018-02-12T17:37:00+01:00Nadine Juliana Dressler
Auch Unterwegs bestens informiert!
Alle Kommentare zu dieser News anzeigen