macOS Mojave-Fehler gefährdet Ihre Schlüsselbund-Passwörter
Foto: Killian Bell/Kult von Mac
Ein neuer Fehler, der in macOS Mojave entdeckt wurde, gefährdet Ihre sensiblen Schlüsselbunddaten.
Ein Sicherheitsforscher hat einen Exploit demonstriert, der es jedem ermöglichen könnte, ohne Administratorzugriff auf gespeicherte Benutzernamen und Passwörter zuzugreifen. Die Details teilt er Apple jedoch nicht mit, da keine Belohnung angeboten wird.
Durch seine Bug-Bounty-Programmhustet Apple Belohnungen aus, wenn Leute schwerwiegende iOS-Sicherheitslücken entdecken. Aber der gleiche Mechanismus erstreckt sich nicht auf macOS. Aus diesem Grund verrät Forscher Linuz Henze die Details eines neu entdeckten Fehlers in Mojave nicht.
Henze, der sich durch die Identifizierung von iOS-Problemen eine gute Erfolgsbilanz erarbeitet hat, scheint der Welt jedoch gerne zu zeigen, was die Schwachstelle zulässt. Und es ist nicht gut.
KeySteal-Exploit stiehlt Mac-Schlüsselbund-Passwörter
Mit einem Programm, das Henze KeySteal aufruft, hat er ohne Administratorzugriff erfolgreich Benutzernamen und Passwörter erfasst, die im macOS-Schlüsselbund gespeichert sind.
Es macht keinen Unterschied, wenn Zugriffskontrolllisten an der Maschine vorhanden sind. Die Macs Schutz der Systemintegrität kann es auch nicht verhindern.
Hier ist ein kurzes Video von KeySteal in Aktion:
Henze sagt, dass der Exploit verwendet werden kann, um auf alle Elemente in den Schlüsselbunden „Login“ und „System“ zuzugreifen. Es kann jedoch nicht auf Daten im iCloud-Schlüsselbund zugreifen, der Informationen anders speichert.
Sicherheitsforscher will Druck auf Apple ausüben
Henze wird seine Ergebnisse Apple wegen seiner Frustration über das Fehlen eines Bug-Bounty-Programms für macOS nicht offenlegen. Er ermutigt andere Forscher, auch Sicherheitsprobleme öffentlich zu veröffentlichen, damit sie Druck auf Apple ausüben können, eine Änderung vorzunehmen.
Es ist nicht klar, ob Apple dieses spezielle Problem in Mojave kennt – aber es gibt etwas, was Benutzer tun können, um sich zu schützen.
So verhindern Sie den KeySteal-Exploit
Sie können Exploits wie KeySteal blockieren, indem Sie den Anmeldeschlüsselbund mit einem zusätzlichen Passwort sperren. Sie müssen dies manuell tun, da es in macOS standardmäßig nicht geschützt ist. Der Fix ist nicht ideal, da er bei der Verwendung Ihres Macs endlose Passwortaufforderungen bedeutet.
Es ist jedoch der einzige Fix für diese macOS-Schwachstelle vorerst. Wenn Sie sich also Sorgen über das Problem machen, ist dies Ihre einzige Wahl.
Über: Heise