Forscher versorgt Apple mit Details (und Fix) für den Schlüsselbund-Fehler
Foto: Killian Bell/Kult von Mac
Ein Sicherheitsforscher hat beschlossen, Apple mit Details – und einem Patch – für a schwerwiegender Fehler im Schlüsselbund in macOS Mojave die es jedem ermöglicht, auf Ihre gespeicherten Benutzernamen und Passwörter zuzugreifen.
Linus Henze hatte die Informationen zuvor aus Protest gegen Apples Entscheidung zurückgehalten, kein macOS-Bug-Bounty-Programm anzubieten. Er glaubt nun, dass das Problem zu ernst ist, als dass das Unternehmen es ignorieren könnte.
Henze hat die Schwachstelle und ein Programm, das er letzten Monat entwickelt hat, um sie auszunutzen, detailliert beschrieben. Sein KeySteal-Tool ermöglichte es, unter der neuesten Version von macOS Schlüsselbund-Benutzernamen und -Passwörter ohne Administratorzugriff abzurufen.
Henze entschied sich damals, die Details nicht mit Apple zu teilen, aber er hat seitdem seine Meinung geändert.
Apple erfährt Details zum Schlüsselbund-Fehler
„Ich habe beschlossen, meinen Schlüsselbund-Exploit an Apple zu senden, obwohl sie nicht reagiert haben, da es sehr kritisch ist und weil mir die Sicherheit von macOS-Benutzern wichtig ist.“ Henze hat getwittert. "Ich habe ihnen die vollständigen Details geschickt."
Erstaunlicherweise schickte Henze auch Apple eine Lösung für das Problem, „natürlich kostenlos“.
Apple hustet nicht nach macOS-Fehlern
Wenn dies ein Fehler in iOS gewesen wäre, hätte Henze im Rahmen des Bug-Bounty-Programms von Apple eine Belohnung für seine Entdeckung erhalten. Da das Problem aber in macOS liegt, für das es kein Bounty-Programm gibt, wird Henze nichts bekommen.
Henze hatte andere Forscher ermutigt, Probleme, die sie in macOS entdeckt haben, öffentlich zu veröffentlichen, und die Details von Apple vorzuenthalten, um das Unternehmen unter Druck zu setzen, einen macOS-Bug anzubieten Kopfgelder. Aber der Plan ging nicht auf.
Apple kontaktierte Henze, um nach seiner Entdeckung zu fragen, reagierte jedoch nicht auf seine Forderungen nach einem Kopfgeldprogramm. Henze hat nun nachgegeben, um sicherzustellen, dass das Problem behoben ist und macOS-Benutzer sicher sind.
So verhindern Sie den KeySteal-Exploit
Es ist noch nicht klar, ob Apple Henzes Fix verwenden wird oder wann das Problem in Mojave behoben wird. Es gibt keine Berichte über bösartige Akteure, die ähnliche Exploits in freier Wildbahn verwenden, aber Benutzer können sicherstellen, dass sie sicher sind, indem sie den Schlüsselbund mit einem zusätzlichen Passwort sperren.