MacOS: So einfach kann man dem Nutzer alle Passwörter klauen

Fast parallel zur Veröffentlichung der neuesten Version des Apple-Betriebssystems MacOS High Sierra hat ein Sicherheitsforscher Informationen zu einer Zero Day-Schwachstelle bereitgestellt. Diese erlaubt es, sämtliche Passwörter aus dem System-Schlüsselbund zu stehlen.

MacOS bringt einen integrierten Passwort-Manager mit, auf den man eigentlich nur mir einem Master-Passwort zugreifen kann. Patrick Wardle, ein ehemaliger NSA-Hacker und jetzt Chef-Sicherheitsforscher beim Unternehmen Synack, demonstrierte, wie er auch ohne dieses mit einem kleinen Programm alle Kennungen im Plaintext geliefert bekommt.

Die dahinterliegende Schwachstelle soll nicht nur in High Sierra, sondern auch in den vorhergehenden Versionen des Betriebssystems enthalten sein. Patches stehen derzeit noch nicht zur Verfügung und es ist auch unklar, wann genau diese kommen werden. Wardle hatte Apple auch erst Anfang September über das Problem informiert und somit nicht die sonst üblichen Zeitspannen eingehalten.
Apple macOS High Sierra Apple macOS High Sierra Apple macOS High Sierra

Hacker ist genervt von Apple

Als Grund dafür könnte man schon fast eine kleine Privatfehde vermuten. "Als passionierter Mac-Nutzer bin ich immer wieder enttäuscht von der Security von MacOS", erklärte Wardle gegenüber dem US-Magazin ZDNet. Immer, wenn man das Betriebssystem falsch anschaue, falle irgendetwas um. Darüber sollten sich die Anwender im klaren sein - und auch darüber, dass es letztlich ähnlich fähige Angreifer gibt, die solche Erkenntnisse lieber zu ihrem eigenen Nutzen missbrauchen.

Der Sicherheitsforscher sieht das Problem darin, dass Apple teilweise dem eigenen Marketing hinsichtlich der Sicherheit seines Systems auf den Leim geht. Zwar ist tatsächlich das Risiko, von Malware betroffen zu sein, recht überschaubar - es gibt letztlich aber genug andere Angriffswege. Wardle würde es daher am liebsten sehen, wenn Apple endlich ein Bug Bounty-Programm für MacOS einrichtet - ein solches gibt es bisher nur für die Mobile-Plattform.

Die Stellungnahme Apples zu der aktuellen Schwachstelle fällt letztlich auch hinreichend daneben aus. Seitens der PR-Abteilung erklärte man, dass den Nutzern ohnehin empfohlen werde, keine unsignierten Anwendungen zu installieren, sondern am besten nur Software aus dem AppStore zu installieren. Weltfremder kann ein Sicherheitskonzept kaum aussehen.

MacOS High Sierra Das verfeinert Apple an seinem Desktop-OS
Jetzt einen Kommentar schreiben