macOS High Sierra: Keychain-Lücke sollte Euch nicht vom Update abhalten

Bereits gestern wurde eine Lücke bekannt, die das Auslesen von macOS Keychain-Einträgen über eine nicht signierte App und ohne Eingabe eines Passworts und ohne Meldung an den Nutzer ermöglicht. Während die Lücke existiert, hat Entdecker Patrick Wardle diese bisher nicht veröffentlicht. Das wird er erst machen, wenn sie von Apple beseitigt wurde. Seiner Meinung nach wird das bald der Fall sein, gemeldet hat er die Lücke am 7. September. Da nicht nur macOS High Sierra, sondern auch ältere Versionen von macOS betroffen sind, sollte einen die Lücke nicht von einem Update abhalten.

Denn während die Keychain-Lücke zwar auch im gestern veröffentlichten macOS High Sierra zu finden ist, ist sie eben nicht nur dort. Auch gilt zu bedenken, dass es eben keine unsignierte App benötigt, um diese Lücke auszunutzen, letztendlich könnte jede App solchen Code enthalten. Unsigniert war die App nur, um die niedrige Einstiegshürde darzustellen.

Und Wardle stellt gegenüber Gizmodo auch noch einmal klar, dass die Lücke durchaus auch von anderen – ob Menschen mit bösen Absichten oder Behörden (oder beides in einem) – gefunden werden kann, die mehr Zeit für so etwas aufwenden. Nutzt man für die Keychain übrigens ein anderes als das Anmeldepasswort (in der Regel sind diese gleich), funktioniert der Exploit von Wardle nicht.

Auch Apple äußerte sich, verweist auf die Standard-Sicherheitsmaßnahmen eines Mac, wie beispielsweise Gatekeeper und erklärt, dass Nutzer besonders auf Software-Dialoge achten sollen und Apps nur aus vertrauenswürdigen Quellen wie dem Mac App Store beziehen sollen.