Passwörter in macOS gefährdet Forscher warnt vor Sicherheitslücken, verrät Apple aber keine Details

Eine Schwachstelle in macOS könnte es ermöglichen, eigentlich gesicherte Passwörter auszulesen. Der Experte, der die Lücke entdeckt hat, will sie aber nur unter Bedingungen mit Apple teilen.

macOS Mojave (Screenshot)
SPIEGEL ONLINE

macOS Mojave (Screenshot)


Linus Henze hat eine für Mac-Nutzer beunruhigende Entdeckung gemacht: Im sogenannten Schlüsselbund des Apple-Betriebssystems stecke eine Schwachstelle, über die Fremde Zugang zum Inhalt des Schlüsselbunds bekommen können, sagt der Sicherheitsforscher.

Beunruhigend ist das, weil Apples digitaler Schlüsselbund als Sammelstelle für die Zugangsdaten zu Webseiten, sozialen Netzwerken, E-Mail-Accounts und vielem mehr gedacht ist.

Wie "Heise online" meldet, hat Henze nun einen Weg gefunden, mithilfe manipulierter Software die im Schlüsselbund gespeicherten Passwörter und Login-Daten im Klartext auszulesen. Eine auf diesem Weg angreifende App müsse weder über Administrator- noch über Root-Zugriffsrechte verfügen und könne auch die eigentlich bei derartigen Zugriffen auf Systemdateien übliche Passwortabfrage umgehen.

Die einzige Voraussetzung für das Gelingen eines solchen Angriffs sei demnach, dass der Nutzer des Macs sich an seinem Computer angemeldet hat, der Rechner also läuft und bedienbar ist.

Sicherheitslücken können sich lohnen

Einen Patch für diese Sicherheitslücke gibt es bisher nicht - und das hat einen einfachen Grund: Henze hat seine Erkenntnisse bisher nicht mit Apple geteilt. Das ist ein eher ungewöhnliches Vorgehen. In der Regel veröffentlichen Sicherheitsforscher ihr Wissen über neuentdeckte Schwachstellen erst, nachdem sie den betroffenen Firmen Details dazu übergeben und ihnen damit die Möglichkeit gegeben haben, das Problem per Software-Update zu beseitigen.

Genau das will Linus Henze im aktuellen Fall aber nur tun, wenn Apple für macOS ein sogenanntes Bug-Bounty-Programm einrichtet. Solche Programme bieten viele Hersteller an. Sie dienen dazu, Sicherheitsexperten zu motivieren, gefährliche Schwachstellen nach dem oben geschilderten Verfahren zu melden. Im Gegenzug erhalten die Entdecker der Sicherheitslücken Geldprämien, die mitunter im fünf- bis sechsstelligen Bereich liegen.

Keine Prämien für macOS-Schwachstellen

Ein solches Bug-Bounty-Programm gibt es bei Apple aber nur für iOS. Für die Entdeckung von Sicherheitslücken winken Softwareexperten dort zwischen 25.000 und 200.000 Dollar Belohnung. Die können laut "Heise online" aber nur Forscher einstreichen, die von Apple zu diesem Programm eingeladen werden und dann Schwachstellen entdecken, die von Apple als schwerwiegend eingestuft werden.

Während Henze mit seiner Aktion offenbar versucht, Druck auf Apple auszuüben, zumindest ein ähnliches Programm auch für macOS anzubieten, versucht eine Mutter aus dem US-Bundesstaat Arizona gerade, ihren Sohn in ein solches Programm einzuschleusen.

Der Fall des FaceTime-Fehlers

Der 14-Jährige hatte einen Fehler in der Videochat-Software FaceTime entdeckt, der es Anrufern ermöglichte, andere Nutzer unbemerkt zu belauschen. Apple hatte daraufhin die Gruppentelefonie-Funktion abgeschaltet, die diesen Trick ermöglicht hatte. Ein Update, das den Fehler behebt, soll in dieser Woche erscheinen.

Die Mutter des Jungen hatte öffentlich beklagt, Apple habe die Meldung des Problems zuerst nicht ernst genommen. Nun soll die Familie einem Bericht von "CNBC" zufolge Besuch von einem hochrangigen Apple-Manager bekommen haben. Der habe angedeutet, ihr Sohn könnte in das Bug-Bounty-Programm aufgenommen werden, sagte die Mutter dem TV-Sender und ergänzte: "Wenn er eine Belohnung für seine Entdeckung bekäme, würden wir die bestimmt gut in seine Ausbildung investieren."

Apple äußerte sich auf Anfrage nicht zu den Vorgängen.

mak

Mehr zum Thema


insgesamt 24 Beiträge
Alle Kommentare öffnen
Seite 1
latrodectus67 05.02.2019
1. Dramatisch
wieviele Logins sind denn schon Hackern bekannt? Geschätzt 2.2 Milliarden. Woher kamen die? Alle von gehackten Servern. In diesem Artikel wird wieder die Meme von "Oh mein Gott! Mein Passwort wurde gestohlen, hätte ich besser XYZ gemacht" verbreitet. Anstatt darauf hinzuweisen, dass seit Jahrzehnten Gesetze geben sollte, Firmen vollständig und umfänglich für Sicherheitsversagen haftbar zu machen.
Mr Bounz 05.02.2019
2.
Das tolle ist ja eigentlich das es bei Apple NIE Sicherheitslücken gibt. Deshalb ist so ein Programm auch völlig überflüssig und wenn dann nur für geladene Gäste .... Wirklich ein Symphatisches Unternehmen!
tailspin 05.02.2019
3. Soviel zur Datensicherheit
Meine Tochter hat sich mit 16 und mit der Unterstuetzung eines gleichaltrigen Schulkameraden ihren ersten Hochleistungscomputer zusammengebaut. Der begabte Junge, ein Libanese, hatte sowas schon ein paarmal gemacht. Sein Vater, auch ein Computercrack, leitete eine Abteilung bei der Nasa fuer die Risikobewertung von Millionen von Bauteilen beim Spacelab. Beim Zusammenbaue zog der Junge eine Platine mit einem USB Anschluss aus seinem Werkzeugkasten. Mit dem Teil konnte er JEDES Passwort an JEDEM Computer herauslesen. Die Daten wurden an den Server bei ihm zu Hause geschickt.
unpolit 05.02.2019
4. Mit der Story kommen Sie in einem Blog-Beitrag rüber?
Zitat von tailspinMeine Tochter hat sich mit 16 und mit der Unterstuetzung eines gleichaltrigen Schulkameraden ihren ersten Hochleistungscomputer zusammengebaut. Der begabte Junge, ein Libanese, hatte sowas schon ein paarmal gemacht. Sein Vater, auch ein Computercrack, leitete eine Abteilung bei der Nasa fuer die Risikobewertung von Millionen von Bauteilen beim Spacelab. Beim Zusammenbaue zog der Junge eine Platine mit einem USB Anschluss aus seinem Werkzeugkasten. Mit dem Teil konnte er JEDES Passwort an JEDEM Computer herauslesen. Die Daten wurden an den Server bei ihm zu Hause geschickt.
Mit Verlaub, aber das wäre einigen IT-Fachzeitschriften wohl einen richtig großen Artikel wert gewesen. Und was zu verdienen hätten sie auch gehabt...
ziehenimbein 05.02.2019
5. Sind Sie wirklich sicher,
Zitat von tailspinMeine Tochter hat sich mit 16 und mit der Unterstuetzung eines gleichaltrigen Schulkameraden ihren ersten Hochleistungscomputer zusammengebaut. Der begabte Junge, ein Libanese, hatte sowas schon ein paarmal gemacht. Sein Vater, auch ein Computercrack, leitete eine Abteilung bei der Nasa fuer die Risikobewertung von Millionen von Bauteilen beim Spacelab. Beim Zusammenbaue zog der Junge eine Platine mit einem USB Anschluss aus seinem Werkzeugkasten. Mit dem Teil konnte er JEDES Passwort an JEDEM Computer herauslesen. Die Daten wurden an den Server bei ihm zu Hause geschickt.
dass der Vater, womöglich auch ein Libanese, nicht zufällig der Fahrdienstleiter auf Lummerland war? Glauben Sie selber, was Sie da geschrieben haben? Falls Sie noch Kapazitäten frei haben, Sie dürften ja Rentner sein (anderen Kommentaren nach zu urteilen), dann fragen Sie doch mal bei Postillon oder Titanic an, die suchen immer solche Schenkelklopfer. Für Büttenreden dürfte es jetzt schon zu spät sein, wäre aber auch eine Überlegeng wert.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.