macOS High Sierra: Keychain-Lücke sollte Euch nicht vom Update abhalten

26. September 2017 Kategorie: Apple, Backup & Security, geschrieben von:

Bereits gestern wurde eine Lücke bekannt, die das Auslesen von macOS Keychain-Einträgen über eine nicht signierte App und ohne Eingabe eines Passworts und ohne Meldung an den Nutzer ermöglicht. Während die Lücke existiert, hat Entdecker Patrick Wardle diese bisher nicht veröffentlicht. Das wird er erst machen, wenn sie von Apple beseitigt wurde. Seiner Meinung nach wird das bald der Fall sein, gemeldet hat er die Lücke am 7. September. Da nicht nur macOS High Sierra, sondern auch ältere Versionen von macOS betroffen sind, sollte einen die Lücke nicht von einem Update abhalten.

Denn während die Keychain-Lücke zwar auch im gestern veröffentlichten macOS High Sierra zu finden ist, ist sie eben nicht nur dort. Auch gilt zu bedenken, dass es eben keine unsignierte App benötigt, um diese Lücke auszunutzen, letztendlich könnte jede App solchen Code enthalten. Unsigniert war die App nur, um die niedrige Einstiegshürde darzustellen.

Und Wardle stellt gegenüber Gizmodo auch noch einmal klar, dass die Lücke durchaus auch von anderen – ob Menschen mit bösen Absichten oder Behörden (oder beides in einem) – gefunden werden kann, die mehr Zeit für so etwas aufwenden. Nutzt man für die Keychain übrigens ein anderes als das Anmeldepasswort (in der Regel sind diese gleich), funktioniert der Exploit von Wardle nicht.

Auch Apple äußerte sich, verweist auf die Standard-Sicherheitsmaßnahmen eines Mac, wie beispielsweise Gatekeeper und erklärt, dass Nutzer besonders auf Software-Dialoge achten sollen und Apps nur aus vertrauenswürdigen Quellen wie dem Mac App Store beziehen sollen.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9391 Artikel geschrieben.