macOS: Sicherheitsforscher warnt vor Lücke
von caschy | 12 Kommentare
Bereits gegen Mittag deutscher Zeit twitterte Sicherheitsforscher Patrick Wardle, dass er eine Sicherheitslücke in der Beta von Apples Betriebssystem macOS High Sierra gefunden habe. Elegantes Timing, ein paar Stunden vor der Veröffentlichung des finalen Systems. Laut Wardle ist es durch die Sicherheitslücke möglich, dass eine bösartige Applikation Passwörter aus dem Apple Keychain, also der Passwortverwaltung, stiehlt.
Laut Wardles Video liest seine bösartige App die Passwörter im Klartext aus, sodass potentielle Angreifer auf diese zugreifen können. Derzeit nicht bekannt ist, ob Wardle seinen Fund bereits im Vorfeld Apple mitteilte – oder ob er direkt mit seiner Nachricht in die Öffentlichkeit gegangen ist.
on High Sierra (unsigned) apps can programmatically dump & exfil keychain (w/ your plaintext passwords)??? vid: https://t.co/36M2TcLUAn #smh pic.twitter.com/pqtpjZsSnq
— patrick wardle (@patrickwardle) September 25, 2017
Einen Quellcode stellte Wardle (wahrscheinlich glücklicherweise) auch nicht bereit, doch darf man sicherlich davon ausgehen, dass an der Geschichte etwas dran sein muss, denn man würde ja sicherlich nicht als Sicherheitsforscher so seinen Ruf aufs Spiel setzen. Zu beachten ist dabei: In der Standardkonfiguration eines Macs dürfte der Nutzer nicht angreifbar sein, da die App nicht signiert ist und demnach an der Ausführung gehindert ist (siehe Einstellungen > Allgemein > Apps-Download erlauben, hier sollte nur der App-Store nebst verifizierten Entwicklern stehen).
In einem weiteren Tweet teilte Wardle mit, dass die Lücke auch ältere Versionen von macOS treffe. Anwender ist vielleicht daher zu raten, noch kritischer an App-Downloads heranzugehen als bisher und Augen und Ohren nach offiziellen Statements und Updates aufzuhalten.
Wird geladen ...
>Derzeit nicht bekannt ist, ob Wardle seinen Fund bereits im Vorfeld Apple mitteilte – oder ob er direkt mit seiner Nachricht in die Öffentlichkeit gegangen ist.
Hat er, wie er selbst sagt: https://twitter.com/patrickwardle/status/912393435344125952
@Olivetti aber Apple Typische Sorglosigkeit mit schweren Fehlern (er wollte ja nur zeigen wie tief die Latte liegt …), nur gut das MacOS keine nennenswerte Verbreitung hat das es sich lohnt das System anzugreifen
Interessant wäre zu erfahren auf welcher Gehaltsliste dass der Patrick steht. Es ist schon sehr komisch das so eine Meldung zum Release kommt.
Es wurde Apple vorher mitgeteilt…
Wenn sie es zum Release nicht fixen, dann muss man halt an die Öfflichkeit… und das ist auch gut so!
Es geht auch mit signierten Apps, das hat er auch geschrieben.
Somit sind potenziell alle Apps außerhalb des AppStores gefährlich
@Tobi Das ist natürlich ärgerlich. Wobei ich denke, dass professionelle Anwender weder sofort auf High Sierra updaten noch CC 2017 produktiv einsetzen oder zumindest irgendwo ne Backup-Maschine rumstehen haben.
@ Fabian @ Tobi
Ich verstehe nicht wieso die Entwickler sich so lange Zeit gelassen haben Ihre Software anzupassen. Ist ja nicht plötzlich und unerwartet ein neues Betriebssystem da, sondern seit Juni angekündigt und die Betas zum Download bereit 😉 Für mich ein komplettes versagen der genannten Software-Buden
@Juke
Das hängt auch vom code freeze ab. Manche „Bude“ schaut da genau hin und wartet dann erstmal ab, um nicht jede Änderung mitgehen zu müssen.
@Juke
Bei Adobe hat das schon Tradition. Da ist eigentlich immer irgendwas. Bei allem was Treiber benötigt kommt das auch häufig vor. Die neuen Versionen sind monatelang in der Beta, dann erscheint das Final und irgendwas klappt nicht. Meiner Erfahrung nach sind kleinere Softwarehäuser und Indie-Entwickler viel schneller.
@Olivetti
Das hat nichts mit Code Freeze zu tun sondern mit Versagen im Management. Software wird ständig weiterentwickelt, intern gibt es auch Betas und andere Branches, der Code muss ja erstmal nicht Live gehen. Wenn irgendwas nicht klappt schaut niemand genau hin und wartet erstmal ab. Wenn Probleme bekannt sind dann wird daran gearbeitet diese zu beseitigen. Dafür gibt es Beta-Phasen. Dafür muss das Management aber irgend jemandem grünes Licht geben um dort Zeit zu investieren.
@Olivetti
Ist mir schon klar, es sind immer die gleichen. Lieber abwarten und nicht doppelt die Arbeit machen zu müssen. Lieber eine Warnung gegen ein BS aussprechen und den Kunden die Hardware / Software nicht richtig Nutzbar machen… super Geschäftspolitik !
@Juke
>Lieber eine Warnung gegen ein BS aussprechen und den Kunden die Hardware / Software nicht richtig Nutzbar machen…
Niemand hat sich gegen ein BS ausgesprochen. Man soll einfach nur ein bisschen Geduld aufbringen, mehr wird doch gar nicht verlangt.