Keychain lässt sich stehlen

Zero-Day-Lücke im neuen macOS High Sierra

| Autor: Moritz Jäger

In macOS High Sierra und Sierra steckt eine Schwachstelle, über die sich Kennwörter stehlen lassen.
In macOS High Sierra und Sierra steckt eine Schwachstelle, über die sich Kennwörter stehlen lassen. (Bild: Apple)

Das neue macOS High Sierra lässt sich bereits herunterladen. Allerdings liefert Apple es scheinbar mit einer massiven Sicherheitslücke aus. Wie ein Sicherheitsforscher zeigt, können Angreifer über manipulierte Apps die Passwort-Informationen der Keychain auslesen. Ein Patch steht noch aus.

Ein Schelm, wer Böses dabei denkt: Kurz bevor das neue macOS, Codename High Sierra, zum Download freigegeben wurde, hat Sicherheitsforscher Patrick Wardle eine Zero-Day-Schwachstelle im neuen Apple-Betriebssystem publik gemacht.

Die Attacke ist so einfach wie weitreichend. Über eine Nicht-Signierte Applikation, die der Nutzer aus dem Internet lädt und sie lokal ausführt, können Angreifer die Keychain auslesen, die Passwörter kopieren und zum Angreifer überspielen. Die Keychain ist der in macOS integrierte Passwort-Manager, der neben Zugangsdaten auch PINs oder Bankinformationen gespeichert werden können.

Laut Wardle sollten Applikationen eigentlich keinen kompletten Zugriff auf die Keychain haben. Eigentlich würden selbst signierte Apple-Anwendungen den Nutzer vor dem Zugriff fragen. Das lässt sich scheinbar umgehen – die Daten sind für Kriminelle mehr als interessant. Die Schwachstelle wurde von Wardle auf Sierra und High Sierra bestätigt, er geht davon aus, dass El Capitan ebenfalls betroffen ist.

Wie reagiert Apple?

Der Experte wurde natürlich sofort beschimpft, dass er Apple vorab warnen hätte können. Dies tat er tatsächlich, Wardle wandte sich im September an den Konzern. Der Konzern war wohl „dankbar“, hatte aber keine Zeit, die Schwachstelle zu schließen. Offensichtlich stuft Apple die Lücke nicht als kritisch genug ein, um das Release von High Sierra zu verschieben. Wardle ist da natürlich anderer Meinung, allerdings geht er davon aus, dass die Lücke zügig geschlossen wird.

Die Abwehr der Attacke ist zunächst einfach. Sie setzt eine lokale Infektion voraus, wer sich gegen diese möglichst gut schützt, ist relativ sicher. Zudem empfiehlt Wardle, dass Nutzer das Kennwort für die Keychain ändern und sie verschlüsseln sollten, wenn sie nicht in Gebrauch ist.

Die Antwort Apples, dass Gatekeeper gegen die Installation unsignierter Applikationen schützt, findet Wardle nicht ausreichend. Es sei einfach, sich ein entsprechendes Zertifikat zu organisieren, laut dem Forscher würden „tausende Malware-Varianten“ diesen Angriffsweg nutzen. Er habe mit Absicht eine unsignierte Applikation genutzt, um zu demonstrieren wie einfach die Attacke ist.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44919884 / Sicherheitslücken)