Forscher findet schwere macOS-Lücke, will Apple keine Details nennen

7. Februar 2019, 10:04

Weil Apple keinerlei Belohnungen für Melden von Sicherheitslücken stellt – Angreifer können Passwörter ausspionieren

Der Schlüsselbund von macOS soll die eigenen Passwörter eigentlich zuverlässig vor dem Zugriff unbefugter Programme schützen. Ein Sicherheitsforscher hat nun darin aber eine schwere Lücke gefunden, und nutzt diesen Umstand gleich, um grundlegende Kritik an Apple zu üben.

Passwortklau

Der Sicherheitsexperte Linus Henze hat ein Video gepostet, in dem zu sehen ist, wie er erfolgreich Passwörter aus der macOS Keychain stiehlt. Die KeySteal genannte Attacke setzt dabei keinerlei spezielle Berechtigungen voraus, kann also von jedem normalen Nutzer vorgenommen werden. Mit einem Klick bekommt dieser dann auch gleich Zugriff auf Login-Daten und im Schlüsselbund gespeicherte, vermeintlich "sichere" Notizen. Betroffen sind alle aktuellen macOS-Versionen bis zur derzeit neuesten Ausgabe 10.14.3, wie heise.de berichtet.

linus henze

Für Aufsehen sorgt dieser Hack aber nicht nur deswegen, weil die Lücke bisher noch offen steht, sondern auch weil der Sicherheitsforscher Apple keine Details nennen will. Dies liegt an einem Umstand, für den Apple in der Vergangenheit immer wieder kritisiert wurde: Im Gegensatz zu den meisten anderen großen Softwareherstellern bietet Apple für macOS nämlich kein Bug-Bounty-Programm an.

Fehlersuche

Im Rahmen eines solchen Programms werden Sicherheitsforscher üblicherweise für das Aufspüren von Sicherheitslücken und deren geheime Meldung an den Hersteller finanziell entlohnt. Henze verweist nun darauf, dass das Aufspüren solcher Lücken einen erheblichen Aufwand darstellt. Dass eines der reichsten Unternehmen dermaßen geizig ist, sei "schon traurig", wie Henze betont. Eine andere Interpretation wäre, dass sich Apple mittlerweile sehr wenig für macOS interessiert. Denn für das Melden von iOS-Bugs gibt es sehr wohl entsprechende Belohnungen.

Trotzdem bietet das Video natürlich einen guten Anhaltspunkt für Apple, um nach dem dahinterstehenden Bug zu suchen, und selbst aufzuspüren und auszuräumen. Henze betont, dass er den von ihm entwickelten Exploit bis dahin nicht veröffentlichen und auch nicht weiterverkaufen will.

Lock

Für die betroffenen Nutzer gibt es derzeit eigentlich nur eine effektive Abhilfe: Die manuelle Sperre der Keychain nach dem Login oder das Festlegen eines möglichst kurzen Zeitablaufs um dies automatisch vorzunehmen. Dann funktioniert der Hack nämlich nicht mehr. Das bedeutet aber natürlich, dass man jedes Mal wieder das Keychain-Passwort frisch eingeben muss, wenn man Zugriff auf irgendeinen Eintrag im Schlüsselbund haben will. Eine weitere Ausnahme stellen die ebenfalls in der Keychain abgelagerten Daten des iCloud-Schlüsselbundes dar, da dieser technisch anders abgewickelt wird. (apo, 7.2.2019)