2406288

Mac-Schlüsselbund – Entwickler klärt Apple über Lücke auf

01.03.2019 | 13:30 Uhr | Stephan Wiesend

Ein Entwickler hat eine Sicherheitslücke von Apples Passwortverwalters Schlüsselbund entdeckt - und an Apple mittlerweile alle Informationen weiter gegeben, die für das Schließen notwendig sind.

Update vom 1. März 2019:

Der Fehlern im Schlüsselbund müsste bald der Vergangenheit angehören, Apple hat jetzt alle notwendigen Informationen über die Art des Fehlers inklusive eines Patches. Dies erklärt zumindest der Entdecker des Fehlers, der Entwickler Linus Henze auf Twitter. Zwischen den Zeilen lässt er jedoch Unmut erkennen, Apple habe auf seine Entdeckung bisher in keiner Weise reagiert. Dennoch übermittle er die Informationen und das auch noch völlig grats, weil ihm "die Sicherheit von macOS am Herzen" liege. Letztere Floskel hört man meist von Herstellern, in deren Produkte Probleme aufgedeckt wurden. Von Apple hat man aber seit Wochen zu dem Thema nicht einmal das gehört.

Meldung vom 5. Februar 2019: Nicht zuletzt durch die komfortable Synchronisation zwischen iPhone und Mac ist der Schlüsselbund sehr beliebt. Problemlos kann man damit sichere Passwörter verwalten, Anmeldedaten automatisch verwenden und zwischen Geräten abgleichen. Die Sicherheit von Apples Dienstprogramm wies aber immer wieder Lücken auf. Eine neue Schwachstelle unter macOS 10.14.3 hat jetzt der Sicherheitsforscher Linus Henze veröffentlicht. In einem kurzen Youtube-Video zeigt er ein Tool, das alle Passwörter des Schlüsselbundes auslesen kann. Besondere Zugriffsrechte benötigt die Anwendung offenbar nicht.

Das Tool muss auf dem Rechner laufen, könnte etwa als vorgebliche Freeware auf den Rechner gelangen. Für den Zugriff muss der Schlüsselbund allerdings vom Nutzer selbst entsperrt werden, im Video aktiviert Henze zusätzlich noch die Zusatzfunktion „Passwort einblenden“. In diesem Moment kann das Tool nun alle Passwörter problemlos auslesen. Ein Hacker könnte etwa so an eine komplette Passwortsammlung eines Nutzers gelangen. Dass es sich um funktionale Passwörter handelt, zeigt er im Video ebenfalls.

Eigentlich sollte die Schlüsselbundverwaltung den Zugriff von anderen Apps nur nach einem Warnhinweis erlauben, es gibt sogar eine eigene Option dies nur einzelnen Apps zu erlauben. Offensichtlich funktioniert das Auslesen der Daten aber trotzdem.

Nähere Informationen will Henze allerdings nicht preisgeben. Er begründet dies im Video damit, Apple habe kein Bug-Bounty-Programm für macOS. Im Unterschied zu anderen Herstellern wird man nämlich von Apple für das Auffinden von Sicherheitslücken nicht bezahlt. Nur für iOS gibt es ein wenig erfolgreiches Prämien-System. Wie Henze anmerkt, ist die von ihm aufgedeckte Schwäche nicht das erste Sicherheitsproblem des Schlüsselbunds. Schon 2017 hatte Patrick Wardle mit dem KeychainStealer ein ähnliches Werkzeug vorgestellt.

Henze hat sogar noch weitere Videos angekündigt, die der Austin-Powers-Fan unter dem Hashtag  #OhBehaveApple veröffentlichen will.

Unsere Meinung:

Die Sicherheitslücke wirkt auf den ersten Blick sehr beunruhigend, offensichtlich gibt es eine funktionierende Angriffsmethode auf Apples Schlüsselbund. Der Zugriff ist zwar nur auf einen entsperrten Schlüsselbund, also nach Eingabe des Passworts möglich, ein solch weitgehender Zugriff auf die Daten sollte aber keinesfalls möglich sein. Wie kann man sich aber vor derartigen Zugriffen nun schützen? Ohne genauere Kenntnis der Zugriffsmethode ist eine Einschätzung leider bisher nur begrenzt möglich. In Kürze wird es aber dazu sicher mehr Informationen geben, auch von anderen Sicherheitsforschern.

So können Sie sich dagegen schützen:

Der Angriff setzt voraus, dass der Schlüsselbund entsperrt ist. Will man sich absichern, kann man den Schlüsselbund regelmäßig manuell sperren oder einen Zeitraum für eine automatische Sperrung des Anmelde-Schlüsselbundes vorgeben. 

Um diese Einstellung zu aktivieren, klickt man mit gedrückter Control-Taste auf den Schlüsselbund „Anmeldung“ in der linken Seitenleiste. Über die Option „Einstellungen für den Schlüsselbund Anmeldung“ kann man nun eine Zeitraum für dieses automatische Sperren einstellen. Zumindest die wichtigsten Passwörter kann man so schützen. 

Empfehlenswert ist außerdem, dass man für den Schlüsselbund ein anderes Passwort als das übliche Benutzerkennwort verwendet. Möglich ist dies über "Ablage -> Neues Passwort".

Mit einem veränderten Passwort kann man das Schlüsselbund schützen.
Vergrößern Mit einem veränderten Passwort kann man das Schlüsselbund schützen.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2406288