Mac-Schlüsselbund in Gefahr:
Kritische Lücke macht Zugriff möglich

Ein Sicherheitsforscher will im Schlüsselbund von MacOS eine kritische Sicherheitslücke ausgemacht haben. Der Fehler soll es möglich machen, dass manipulierte MacOS-Apps ohne Einschränkung Zugriff auf gesicherte Daten erhalten. Der Forscher hatte die Schwachstelle bisher nicht an Apple gemeldet, er wolle den Konzern dazu bewegen das OS besser abzusichern und für gemeldete Schwachstellen wie unter iOS eine Belohnung auszuloben.

Eine große Lücke in der Mac-Schlüsselbundverwaltung

Der Schlüsselbund zählt zu den sehr sensiblen Bereichen in MacOS, sind darin bei Nutzung doch alle Zugangsdaten inklusive der Passwörter hinterlegt. Ein Sicherheitsforscher hat laut Bericht von heise eine kritische Lücke entdeckt, die es manipulierten Anwendungen erlauben soll, alle im Schlüsselbund gespeicherten Daten auszulesen - dieser Fehler soll alle Versionen bis MacOS 10.14.3. betreffen. Neben dem Schlüsselbund "Anmeldungen", der von MacOS standardmäßig angelegt wird, sollen von dem Fehler also auch alle anderen Schlüsselbund-Dateien betroffen sein, beispielsweise die "System"-Anmeldedaten - so die Erläuterung des Sicherheitsforschers Linus Henze auf Nachfrage von Mac & i.

Wie Henze weiter ausführt, bedeutet dies, dass alle Informationen, die durch die Schlüsselbundverwaltung geschützt sein sollten - der Forscher nennt hier unter anderem die "sicheren Notizen" - durch den Fehler abgreifbar werden. Allerdings gebe es hier zum Glück der Nutzer eine Ausnahme: Auf die Daten des iCloud-Schlüsselbundes, die sich auch in der Mac-Schlüsselbundverwaltung finden, ist auf diesem Weg kein Zugriff möglich, da diese anders geschützt werden. Außerdem setzt der Angriff voraus, dass der Schlüsselbund entsperrt ist - bei dem Schlüsselbund "Anmeldungen" ist dies nach Login des Nutzers standardmäßig der Fall.

Apple soll endlich für MacOS-Fehler bezahlen

Eine offizielle Meldung an Apple ist dabei von dem Sicherheitsforscher nicht erfolgt, ebenso hat er aber auch keinen Exploit auf Basis seiner Entdeckung veröffentlicht. Wie Henze im Gespräch mit Mac & i betont, sei ein Verkauf an Dritte für ihn ebenfalls ausgeschlossen, da nur so ein Missbrauch ausgeschlossen werden könne. Geht es nach seinen Vorstellungen, sollten mehr Entwickler ihre Schwachstellen auf diese Weise öffentlich machen, um Apple unter Druck zu setzen - das Ziel: Der Konzern solle sein MacOS besser absichern und wie bei iOS für die Entdeckung von Schwachstellen ein Preisgeld ausrufen. Es sei "schon traurig", dass Apple solche Entdeckungen aktuell nur mit einer Namensnennung honoriere.