MacOS: So einfach kann man dem Nutzer alle Passwörter klauen

Fast parallel zur Veröffentlichung der neuesten Version des Apple-Betriebssystems MacOS High Sierra hat ein Sicherheitsforscher Informationen zu einer Zero Day-Schwachstelle bereitgestellt. Diese erlaubt es, sämtliche Passwörter aus dem System-Schlüsselbund zu stehlen.

MacOS bringt einen integrierten Passwort-Manager mit, auf den man eigentlich nur mir einem Master-Passwort zugreifen kann. Patrick Wardle, ein ehemaliger NSA-Hacker und jetzt Chef-Sicherheitsforscher beim Unternehmen Synack, demonstrierte, wie er auch ohne dieses mit einem kleinen Programm alle Kennungen im Plaintext geliefert bekommt.

Die dahinterliegende Schwachstelle soll nicht nur in High Sierra, sondern auch in den vorhergehenden Versionen des Betriebssystems enthalten sein. Patches stehen derzeit noch nicht zur Verfügung und es ist auch unklar, wann genau diese kommen werden. Wardle hatte Apple auch erst Anfang September über das Problem informiert und somit nicht die sonst üblichen Zeitspannen eingehalten.
Apple macOS High Sierra

Hacker ist genervt von Apple

Als Grund dafür könnte man schon fast eine kleine Privatfehde vermuten. "Als passionierter Mac-Nutzer bin ich immer wieder enttäuscht von der Security von MacOS", erklärte Wardle gegenüber dem US-Magazin ZDNet. Immer, wenn man das Betriebssystem falsch anschaue, falle irgendetwas um. Darüber sollten sich die Anwender im klaren sein - und auch darüber, dass es letztlich ähnlich fähige Angreifer gibt, die solche Erkenntnisse lieber zu ihrem eigenen Nutzen missbrauchen.

Der Sicherheitsforscher sieht das Problem darin, dass Apple teilweise dem eigenen Marketing hinsichtlich der Sicherheit seines Systems auf den Leim geht. Zwar ist tatsächlich das Risiko, von Malware betroffen zu sein, recht überschaubar - es gibt letztlich aber genug andere Angriffswege. Wardle würde es daher am liebsten sehen, wenn Apple endlich ein Bug Bounty-Programm für MacOS einrichtet - ein solches gibt es bisher nur für die Mobile-Plattform.

Die Stellungnahme Apples zu der aktuellen Schwachstelle fällt letztlich auch hinreichend daneben aus. Seitens der PR-Abteilung erklärte man, dass den Nutzern ohnehin empfohlen werde, keine unsignierten Anwendungen zu installieren, sondern am besten nur Software aus dem AppStore zu installieren. Weltfremder kann ein Sicherheitskonzept kaum aussehen.

MacOS High Sierra Das verfeinert Apple an seinem Desktop-OS

Die beliebtesten MacBook Pro mit Touch Bar in unserem Preisvergleich:

Verwandt

Alle Anzeigen

Dieses Video empfehlen

Kommentieren16

Tags:

Jetzt einen Kommentar schreiben

[o1] am ++5 --3

Weltfremd? Nicht bei "Halts halt anders"-Apple...

[o2] am ++6 --3

Man ruht sich halt auf dem Ruf aus, dass ja "die Anderen" die Probleme hätten. Ist an sich lange bekannt, dass es mit dem Thema Sicherheit bei macOS nicht so wirklich rosig aussieht. Interessiert nur mangels Masse nicht so stark, da es deswegen eben seltener angegriffen wird.

[re:1] am ++3 --3

@der_ingo: Und das bedeutet für den Endanwender unterm Strich was genau?

[re:1] am ++1 --2

@gutenmorgen1: Das es genauso einfach ist wie unter Windows.

[re:2] am ++2 --1

@gutenmorgen1: jetzt bedeutet das, dass die Anwender genauso vorsichtig sein müssen, wie auf allen anderen Systemen auch.

[re:3] am ++2 --

@gutenmorgen1: Dass man sich von Marketing-Bling-Bling, "Amazing" etc. nicht den Verstand ausschalten lassen sollte, was denn sonst?

[o3] am ++1 --2

und? Ich pflege immer zu sagen/schreiben. So lange Betriebssysteme von Menschenhand geschrieben werden und nicht von Maschinen, so lange wird es menschliche Fehler geben, ob aus logischen Gründen oder schlichtweg aus Gründen der Nachlässigkeit.

Darum, ein sicheres System ist für mich erst ein neurales netzwerkfähiges Betriebssystem, oder System-Plattform.

[re:1] am ++5 --

@AlexKeller: Warum sollte etwas sicher sein, bei dem keiner mehr einen Einblick hat, wie es überhaupt funktioniert?

[re:2] am ++3 --

@AlexKeller: Gibt es, heißt Gehirn und hat schon mehrfach bewiesen, dass hackbar ist.

[re:1] am ++1 --

@Mitsch79: Jo, grad am Sonntag wieder. ^^

[o4] am ++5 --1

Wenn ich das richtig verstehe muss ich vor einem entsperrten Mac mit darauf installierten macOS 10.13 sitzen um an die Passwörter heran zu kommen, richtig? Ob das nun so einfach ist, stelle ich mal in Frage. Die Lücke bleibt dennoch kritisch und ich hoffe auf schnelle Reaktion von Apple.

[re:1] am ++3 --2

@Rumpelzahn: Du musst ein Schadprogramm installieren. Das könnte theoretisch auslesen und die Passwörter verschicken. Also bleibt es wie immer am installieren hängen.

[re:2] am ++2 --

@Rumpelzahn: es scheint kein Problem zu sein, die Nutzer dazu zu bringen, irgendwas auf ihrem Rechner auszuführen. Das zeigen ständig alle möglichen Verschlüsselungstrojaner, die normalerweise nicht ohne Nutzer ausgeführt werden können.

[o5] am ++--6

"... dass den Nutzern ohnehin empfohlen werde, keine unsignierten Anwendungen zu installieren, sondern am besten nur Software aus dem AppStore zu installieren. Weltfremder kann ein Sicherheitskonzept kaum aussehen." - Öhm, doch, das geht: Man könnte zum Beispiel ein Betriebssystem entwickeln, bei dem man überhaupt nur Programme aus dem AppStore installieren kann, und es Windows 10S nennen. Zumindest ist Apples AppStore für den Mac gut gefüllt, während es mit einem leeren AppStore bei Windows 10S schon noch um einige Grade "weltfremder" ist ...

Bearbeitet am 26.09.17 um 18:25 Uhr.