Ein von OS X mitgeliefertes Kommandozeilen Programm erlaubt das Kopieren und anschließende Anzeigen aller in der Schlüsselbundverwaltung gesicherten Passwörter im Klartext. Wie ein Nutzer herausgefunden hat bedarf es dazu nicht einmal die Eingabe des Benutzerpassworts – vorausgesetzt der Nutzer ist bereits am jeweiligen Mac angemeldet. Ob dies nun ein Sicherheitsrisiko darstellt ist eine andere Frage. Helfer, die einen Mac eines Freundes oder Kunden in den Händen halten, können jedoch sofort auf die Passwörter zugreifen, ohne dem Kunden nach einem Passwort zu fragen. Der Befehl
security dump-keychain -d login.keychain > keychain.txtspeichert alle im Schlüsselbund verwalteten Login Daten in die Datei “keychain.txt”. Es öffnen sich anschließend mehrere Hinweisfenster die per Hand bestätigt werden müssen. Die anschließend erstellte Datei enthält nach erfolgreichem Vorgang die Passwörter im Klartext mitsamt Domain-Information.
Entfernte Angriffe sind unwahrscheinlich
Durch die auftauchenden Bestätigungsfenster ist diese Attacke, wenn man sie so bezeichnen will, nicht für entfernte Angriffe geeignet. Außerdem muss ein Angreifer direkten Zugriff zur Kommandozeile bzw. Systemebene des Macs Zugriff haben. Hat er dies, ist das Auslesen des Passworts die kleinste Hürde.
Was diesen Vorgang aber gefährlich macht, ist das Auslesen von Passwörtern von Freunden und Helfern. Bringt man einen Mac zu einem Support oder einem vertrauten Helfer, kann dieser das Terminal Fenster öffnen, den Befehl absetzen und sich die Passwortdatei auf den eigenen Rechner speichern. Anschließend hat er Passwörter mitsamt Informationen über angemeldete Dienste und WLANs.
Es lässt sich natürlich darüber streiten ob ein Angreifer, einmal Zugriff durch Vertrauensgewinnung nicht ohnehin schon gewonnen hat. Für findige Schnüffler jedoch stellt dies ein Problem dar. Mitarbeiter in einer Firma dürften auf Arbeit Macbooks auch private Logins abspeichern. Nicht nur Kollegen können anschließend den Befehl absetzen und so im Privatleben der Nutzer stöbern.
Bug oder Feature?
Auch ist nicht klar ob Apple dies so offensichtlich gewollt hat. Will man ein Passwort via der Schlüsselbundverwaltung einsehen, muss zuerst das Passwort des Administrators eingeben werden. Dieser sicherheitsrelevante Schritt entfällt damit. Auch ist es für Nutzer nicht ersichtlich ob dieser Befehl ausgeführt wurde und warum. Helfer oder findige Diebe setzen diesen in ein paar Sekunden ab, und warten geduldig auf das Ergebnis.
Viele Nutzer sprechen von Feature, da ein angemeldeter Nutzer sowieso schon sein Passwort eingegeben hat, und es somit ein leichtes Unterfangen ist Zugriff auf das Privatleben zu gewinnen. Auf der anderen Seite kann mit diesem Befehl eine Liste aller Dienste mitsamt Klartext Passwörter erstellt werden. Diese Liste kann ein potentieller Angreifer auch im später im Privaten einsetzen um sich als der Benutzer ausgeben.
Fazit
Nutzer sollen nicht total aus dem Häuschen sein. Dieses Vorgehen macht Ihren Mac nicht unbedingt unsicherer oder Sie selbst gefährdeter. Es ist jedoch eine kleine Lücke, die bei eifersüchtigen Partnern oder neugierigen Arbeitskollegen für ein gefundenes Fressen sorgen. Wir raten daher immer den Mac zu sperren wenn Sie Ihren Arbeitsplatz verlassen, und immer dabei zu sein wenn eine Person ihre helfende Hand an Ihrem Mac anlegt.
Autor: Bastian Gruber
Bastian Gruber arbeitet freiberuflich seit Dezember 2010 für die Macwelt.